Portspoof: Kỹ thuật mô phỏng các dịch vụ hợp lệ trên toàn bộ 65535 cổng TCP

 (github.com/drk1wi)
1 điểm bởi GN⁺ 2024-12-26 | 1 bình luận | Chia sẻ qua WhatsApp

  • Tổng quan về phần mềm Portspoof

    • Portspoof là phần mềm nhằm tăng cường bảo mật hệ điều hành.
    • Luôn mở toàn bộ 65535 cổng TCP để kẻ tấn công không thể xác định trạng thái cổng.
    • Khi quét cổng, mọi cổng đều được báo ở trạng thái OPEN, khiến các đợt quét cổng lén lút mất tác dụng.
    • Mỗi cổng TCP đang mở sẽ tạo banner giả thông qua mô phỏng dịch vụ để đánh lừa trình quét.
    • Sử dụng cơ sở dữ liệu chữ ký dịch vụ động để phản hồi các truy vấn thăm dò dịch vụ bằng những chữ ký hợp lệ.
    • Khiến kẻ tấn công khó xác định số cổng thực tế của hệ thống.

  • Nghệ thuật phòng thủ trước tấn công

    • Portspoof có thể tận dụng các công cụ và exploit của kẻ tấn công để biến hệ thống sang thế chủ động phòng thủ.
    • Được thiết kế như một thành phần bổ sung cho hệ thống tường lửa, với đặc tính nhẹ, nhanh, portable và an toàn.
    • Làm cho giai đoạn trinh sát của kẻ tấn công trở nên chậm chạp và phiền phức hơn, từ đó tăng cường bảo mật hệ thống.
    • Là phần mềm ở không gian người dùng nên không cần quyền root.
    • Mỗi tiến trình chạy chỉ bind vào một cổng TCP.
    • Có thể dễ dàng tùy biến thông qua các quy tắc iptables.
    • Mức sử dụng CPU và bộ nhớ thấp, đồng thời hỗ trợ đa luồng.
    • Cung cấp hơn 9000 chữ ký dịch vụ động để gây nhiễu phần mềm quét của kẻ tấn công.

  • Tác giả

    • Piotr Duszyński (@drk1wi).

  • Sử dụng thương mại

    • Portspoof được cung cấp theo một giấy phép cụ thể và khi sử dụng cho mục đích thương mại cần trao đổi giấy phép với tác giả.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-12-26
Ý kiến trên Hacker News
  • Cổng 0 được dùng trên một số hệ điều hành như một máy chủ dịch vụ có thể truy cập qua Internet
  • Cấu hình mặc định của MariaDB khiến cơ sở dữ liệu lắng nghe trên cổng 0, nên nỗ lực chặn truy cập Internet theo cách này không hiệu quả trên nhiều hệ thống
  • Có ý kiến cho rằng an ninh máy tính sẽ tiến hóa thành "phòng thủ chủ động"
    • So sánh tính phức tạp và cấu trúc nhiều lớp của hệ miễn dịch với an ninh máy tính và mạng
  • Có người từng tạo một trang web sinh địa chỉ email ngẫu nhiên để chặn các spam bot thu thập email
  • Nêu khả năng máy chủ có thể bị hacker hoặc bot dò quét nhiều hơn, hoặc lưu lượng tăng lên
    • Nghi ngờ rằng phần lớn script kiddie sẽ không lọc ra các honeypot tiềm năng
  • Nêu khả năng nó có thể trở thành bộ khuếch đại DoS
    • Đặt câu hỏi liệu có thể gửi các gói spoof đúng cách để khiến nhiều gói được trả về nguồn gốc ban đầu hay không
  • Đặt câu hỏi về việc mỗi phiên bản chạy chỉ bind vào một cổng TCP
    • Đặt câu hỏi liệu có cần chạy 65535 phiên bản để bao phủ tất cả các cổng hay không
  • Đánh giá tích cực việc không dùng từ "honeypot"
    • Chia sẻ trải nghiệm từng tiếp quản một honeypot "thật" trước đây và đã rất hoang mang khi thấy 30 cổng mở
  • Đề xuất có thể chia nhỏ công việc bằng cách dùng các hệ thống ở nhiều IP khác nhau để tăng tốc quét cổng
  • Nhắc đến sự tiến hóa tự nhiên của cách tiếp cận quảng bá các lỗ hổng bảo mật và duy trì blacklist để phản hồi vào hệ thống thực như một tường lửa
  • Đưa ra ý kiến rằng dùng đồng thời hai kỹ thuật sẽ khiến kẻ tấn công khó xác định dịch vụ thực hơn
    • Đặt câu hỏi liệu đây có phải là hình thức dùng sự mù mờ để bảo mật hay không
  • Nhắc rằng để thực hiện đúng giai đoạn trinh sát của hệ thống cần hơn 8 giờ và 200MB dữ liệu
    • Đặt câu hỏi liệu đây có phải là hình thức dùng sự mù mờ để bảo mật hay không
  • Có thể không có đủ kiến thức về bảo mật thông tin, nhưng đặt câu hỏi liệu hệ thống có thể thu hút nhiều sự chú ý hơn do một instance Redis bị lộ ra ngoài hay không