web-dev-qa-db-ja.com

サーバーでポートスプーフィングのツールを使用して攻撃者を混乱させるのはどの程度賢明ですか?

私は最近このツールに出くわしました https://github.com/drk1wi/portspoof

これを使用して、ポートスキャンを行うハッカーを混乱させることはどの程度効率的ですか?実際にかなり効率的になるとしたら、なぜこれまで追いついていないのでしょうか。つまり、5年間で189の星は悪いです。

25
jerry

ここに複数の問題があります。

  1. 動的ポート応答-2つの異なるIPからスキャンして2つの応答を比較すると、有効なポートリストが表示されますか?もしそうなら、それは非常に弱い防御です。

  2. 攻撃の偵察フェーズに対応するためにCPUを燃やしています。これはあなたに対して使用することができます。これがどのように設定されているかに応じて、スプーファーにマシン上のすべてのCPUを消費させることで、サーバーを強制終了できます。

  3. Portspoofに、アプリにない特別なボーナスの脆弱性はないのですか?

  4. 実在しない可能性のあるポートをスローロリス化して、スパムを除外するために他に何が応答を停止するかを確認できますか?

  5. これを実行していて、私が足掛かりを取得してリモートコマンドポートを開いている場合、気付くでしょうか、それとも自分のスパムで迷子になりますか?

44
Ryan Gooler

効果は非常に限られていると思います。

まず第一に、ほとんどのペンテスターは攻撃を行う際にVMやその他の制限された環境を使用するため、ポートスキャンツールを利用してもほとんど役に立ちません。

第二に、どのポートが実際に開いているかを難読化することがどれほど有用であるかが非常に不明確です。まだサービスを実行している場合、これらは明らかに適切に応答する必要があります。 65536のポートしかないので、すべてを試しても大したことではありません。いずれにせよ、あなたは人々に見つけてもらいたいので、あなたは通常あなたがサービスを走らせるどのポートで発表しなければならないでしょう!なぜ他にそれらを実行しているのですか?

3番目に、すべてのポートですべてのクエリに応答すると、実際にはかなりの無駄な作業が発生する可能性があります。これらのクロックサイクルを別の場所で費やすことをお勧めします。

だから、これらが私の頭に浮かぶ最初の理由です。私はこのツールを使用していませんが、他の人も同じように考えているため、広く採用されていません。

9
Elias

そのソフトウェアの作者が私が好きなことを言っていることが1つあります。

特定のポートがCLOSEDまたはFILTERED状態であることを攻撃者に通知する代わりに[...]

スキャンは、ポートが本当に開いているかどうかをハッカーに知らせません。これは良いアイデアであり、私は自分のiptablesセットアップで使用しています。

ファイアウォールで私がしていることは、ユーザーに通常のサービスまたはパケットにDROPをすぐに接続させることです。パケットをドロップしても、ポートが開いているのか閉じているのかをすぐにユーザーに知らせる必要はありません。これは、間違ったパスワードを使用してログインを試行することに似ています。約1秒間停止してから、もう一度お試しください。そうすることで、nmapをとることができます。クライアントが最大1秒間応答を待つと仮定すると、65536ポートをスキャンするのに18時間以上かかります。

もちろん、ファイアウォールは、開放したいごく少数(つまり、22、80、および443)を除くすべてのポートをブロックします。したがって、ポート5432または3306を試すと、これらのポートが実際に開いている場合でも、DROPが表示されます。

その外では、多くの指摘のように、ハッカーツールがすべてのsatisfactoryポート(つまり、HTTPのようなサービス)に接続しようとするため、CPU時間の多くを排出する可能性が高くなりますそれが価値がないと彼らが決定するまで何度も何度も...これには非常に長い時間がかかる可能性があります。 6か月以上続くSMTPリレー攻撃を受けたコンピュータがありました。ソフトウェアでさまざまなことをテストし、それが実際のライブ(ただし安全)な攻撃で機能することを確認できたので、私にとっては素晴らしいことでした。

自己注意:ボットは脳死しています。

0
Alexis Wilke