Съдържание:
Определение - Какво означава Port Knocking?
Избиването на порта е техника за удостоверяване, използвана от мрежовите администратори. Той се състои от определена последователност от опити за свързване на затворен порт към конкретни IP адреси, наречени knock последователност. Техниките използват демон, който следи лог файловете на защитната стена, търсейки правилната последователност на заявка за връзка. Освен това той обикновено определя дали субектът, който търси вход на порт, е в одобрения списък с IP адреси.
Техопедия обяснява Port Knocking
Чукването на пристанищата, дори използването на проста последователност като "2000, 3000, 4000", ще изисква огромен брой опити за груба сила от външен нападател. Без предварително познаване на последователността, нападателят ще трябва да опита всяка комбинация от трите порта от 1 до 65 555 и след всеки опит трябва да се направи проверка, за да се види дали има отворени порта. Освен това правилните три цифри ще трябва да бъдат получени в ред, без да се получават други пакети данни между тях. Такъв опит за груба сила ще изисква приблизително 9, 2 пакета данни за квинтилион, само за да се отвори успешно еднократно трипортово чукване. Освен това опитът е още по-труден, когато криптографските хеши (метод за създаване на еднократни ключове) или по-дълги и по-сложни последователности се използват като част от чукането на порта.
В действителност, ако няколко легитимни опита от различни IP адреси отваряха и затваряха портове, едновременните злонамерени атакуващи биха били осуети. И ако опитът за груба сила беше успешен, ще трябва да бъдат договорени и механизми за сигурност на пристанището и автентификация на услугите. Освен това, всеки атакуващ не може да открие, че демон работи (т.е. портът изглежда затворен), докато успешно отвори порт.
Има няколко недостатъка. Системите за чукване на портове са много зависими от това, че демонът работи правилно и ако не работи, не може да се направи връзка с портовете. По този начин демонът създава единна точка на провал. Нападателят може също така да може да заключи всички известни IP адреси, като изпраща пакети данни с фалшиви (т.е. подплатени) IP адреси до произволни портове и IP адреси не могат да бъдат лесно променени. (Това може да бъде адресирано с криптографски хешове.) И накрая, съществува възможност за законни заявки за отваряне на порт може да включва TCP / IP маршрутни пакети извън ред; или някои пакети могат да бъдат изпуснати Това изисква изпращачът да изпрати отново пакетите.
