騙倒那些試圖對(duì)你的系統(tǒng)進(jìn)行端口掃描的人!

Portspoof程序旨在通過(guò)在原本封閉的端口上模擬仿真合法的服務(wù)簽名，加強(qiáng)操作系統(tǒng)的安全性。它本來(lái)就是一個(gè)輕便、快速、便攜、安全的附件，可以添加到任何防火墻系統(tǒng)或安全基礎(chǔ)設(shè)施上。

這款程序的基本目的就是，讓端口掃描軟件(Nmap/Unicornscan/等)進(jìn)程運(yùn)行緩慢，讓輸出結(jié)果非常難以解讀，從而使攻擊偵察階段成為一項(xiàng)難度大又麻煩的任務(wù)。

我發(fā)覺(jué)這個(gè)小程序背后的概念很有意思：不是用防火墻堵住所有端口，而是欺騙真實(shí)端口，因而讓針對(duì)你的服務(wù)器/計(jì)算機(jī)運(yùn)行端口掃描的那些家伙無(wú)功而返。

Portspoof程序的主要目的是，通過(guò)攻擊者對(duì)你系統(tǒng)進(jìn)行偵察的過(guò)程中減緩攻擊者攻擊速度，并阻止攻擊者保持低調(diào)的一系列技巧，加強(qiáng)操作系統(tǒng)的安全性。

默認(rèn)情況下，攻擊者的偵察階段應(yīng)該很費(fèi)時(shí)，而且很容易被你的入侵檢測(cè)系統(tǒng)所發(fā)現(xiàn)。

主動(dòng)(進(jìn)攻性)防御的藝術(shù)

Portspoof還可以用作“漏洞框架前端”(Exploitation Framework Frontend)，這可以將你的系統(tǒng)變成一臺(tái)反應(yīng)迅即、具有攻擊性的機(jī)器。實(shí)際上，這意味著你的服務(wù)器能夠自動(dòng)利用攻擊者的工具和漏洞。這種方法純粹基于主動(dòng)(進(jìn)攻性)防御理念。

特點(diǎn)

•快速：多線程(默認(rèn)情況下10個(gè)線程處理新的入站連接)。

•輕便：所需的系統(tǒng)資源數(shù)量極少。

•便攜：可以在Linux和BSD(直到版本0.3)上運(yùn)行。

•靈活：你可以輕松使用防火墻規(guī)則，定義將被欺騙的端口。

•對(duì)付流行的端口掃描工具很有效。

•超過(guò)8000多個(gè)假簽名可以騙倒端口掃描工具!

•采用開(kāi)源技術(shù)。

安裝

Portspoof是一款免費(fèi)的軟件，采用GNU GPL版本2許可證發(fā)行，它并不以任何軟件庫(kù)中程序包的方式出現(xiàn)，或者至少我還沒(méi)有發(fā)現(xiàn)這種方式，所以想安裝它，你就得從官方網(wǎng)站下載zip文件(https://github.com/drk1wi/portspoof/archive/master.zip)，或者從Github(https://github.com/drk1wi/portspoof)克隆源軟件庫(kù)，然后遵循下面這些簡(jiǎn)單的操作步驟：

1. 編譯軟件，進(jìn)入到你解壓縮/放置源文件的目錄，然后運(yùn)行這些命令：

$./configure

$ make

$ sudo make install

或者

$ g++ -lpthread -Wall -g Configuration.cpp connection.cpp Portspoof.cpp revregex.cpp Utils.cpp Fuzzer.cpp Server.cpp -o portspoof

2. 配置防火墻規(guī)則：

# iptables -A PREROUTING -i eth0 -p tcp -m tcp --dport 1:65535 -j REDIRECT --to-ports 4444

# iptables-restore < iptables-config (system_files directory)

注意：

如果你想訪問(wèn)合法服務(wù)，就得將這些服務(wù)的端口排除在REDIRECT語(yǔ)句之外!

Portspoof默認(rèn)情況下會(huì)偵聽(tīng)端口ALL_INTERFACES和端口4444 tcp。這條防火墻規(guī)則會(huì)導(dǎo)致服務(wù)騙過(guò)端口1至端口65535。

運(yùn)行模擬仿真服務(wù)的Portspoof：

$ portspoof -c portspoof.conf -s portspoof_signatures -D

在“打開(kāi)的端口”模式下運(yùn)行Portspoof：

$ portspoof -D

3. 將portspoof添加到你系統(tǒng)的啟動(dòng)腳本。

為此，修改或使用默認(rèn)的init.d腳本，你可以在system_files目錄中找到這個(gè)腳本。

演示

你想不想根本不用安裝就能試一下Portspoof?

檢查一下：針對(duì)portspoof.or地址，運(yùn)行你常用的端口掃描工具，看看結(jié)果：nmap -sV -v portspoof.org。

你應(yīng)該會(huì)看到類似這樣的界面：

原文地址：http://linuxaria.com/article/portspoof-an-interesting-anti-snooping-tool-for-linux?lang=en