让服务器开放端口更安全

• 
  　　使用knockclient和knockdaemon
  
  　　Portknocking.org公司已经用Perl语言实现了端口碰撞技术，现在可以从该公司的网站_blank>下载这个工具。文件portknocking-0.1.tgz中包含knockclient和knockdaemon两个程序。该版本允许远程用户打开端口0到255，并且自动使用Crypt::Blowfish执行加密工作。你只需要在远程系统上使用必要的命令选项来调用knockclient程序即可。例如，要在远程系统上打开特定IP上的端口22，你可以使用这样的命令：knockclient -client 192.168.0.1 -remote 10.1.42.1 -port 22 -time 0。 　　
  
  
  　　在这个例子中，我们要打开IP地址为10.1.42.1的服务器上的端口22，并且只允许IP地址为192.168.0.1d的主机与这个服务器之间只能有一个连接。由于-time的标识为0，因此我们要打开的端口在开放时间上没有限制。如果time的时间为255的话，那么该命令就是要关闭这个端口。其他从1到254之间的time值表示端口打开的时间（以分钟计算）。在knockclient和knockdaemon之间的共享密码用于加密碰撞序列，并且使得远程主机和本地主机之间的信息只有他们自己能够理解。另外，在这种实现中，要使用远程主机的端口745 到端口1000。服务器的端口打开之后，需要关闭远程主机的这些端口，并且_blank">防火墙的日志需要打开。然后后台进程缺省状态下就会监听这些端口的8个碰撞。Perl模式 File::Tail 用于检测添加到_blank">防火墙日志上的新的行信息，并且knockdaemon将会分析这些行信息。 　　
  
  　　虽然这仅仅是一个原型，但是却运行的很好。很显然，端口碰撞技术的核心是远程主机发起的碰撞序列是否能够打开一个端口。写出这样的一个程序或者将其加入到当前可用的资源中是一件并不困难的事情，并且可以很容易的实现各个系统的定制。例如，如果访问一个NATIP地址，你可以根据碰撞序列来配置策略，实现动态转发对内部主机的SSH访问。另外，根据你的配置，使用端口碰撞技术还可以实现备份或者运行其他的作业。 　　
  
  　　总结
  
  　　端口碰撞技术对于增加一层看不见的认证来说还是非常有益处的。只有提供了正确的端口序号的用户才可以有一次获得可用服务如SSH等的机会。这使得服务器可以具有从任意IP--如一个移动或者动态的IP--上接受连接的能力，并且可以创建一定的信任级别--这种信任基于远程系统知道正确的碰撞序列。对于那些已经实现了比较好的安全性的服务器来说，端口碰撞技术是一种最好的补充。
  
  　　

  （出处：网侠）

• 上一页 [1] [2] 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 让服务器开放端口更安全 相关文章：
• ·让服务器开放端口更安全
• 让服务器开放端口更安全 相关软件

上一篇:ADSL掉线与连不上的常见故障

下一篇:百度硬盘搜索试用手记

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐