Portspoof: सभी 65535 TCP पोर्ट्स पर वैध सेवाओं का emulation करने की तकनीक

 (github.com/drk1wi)
1 पॉइंट द्वारा GN⁺ 2024-12-26 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • Portspoof सॉफ़्टवेयर का अवलोकन

    • Portspoof ऑपरेटिंग सिस्टम की सुरक्षा को मज़बूत करने के लिए बनाया गया सॉफ़्टवेयर है.
    • यह सभी 65535 TCP पोर्ट्स को हमेशा खुला रखता है, ताकि हमलावर पोर्ट की वास्तविक स्थिति का पता न लगा सकें.
    • पोर्ट स्कैन के दौरान यह सभी पोर्ट्स को OPEN स्थिति में दिखाता है, जिससे stealth port scan निष्प्रभावी हो जाता है.
    • हर खुले TCP पोर्ट पर service emulation के ज़रिए नकली banner बनाया जाता है, ताकि scanner भ्रमित हो जाए.
    • यह dynamic service signature database का उपयोग करके service probe का जवाब वैध signatures के साथ देता है.
    • इससे हमलावरों के लिए सिस्टम के वास्तविक पोर्ट नंबर पता करना कठिन हो जाता है.

  • हमलों से बचाव की कला

    • Portspoof हमलावरों के tools और exploits का उपयोग करके सिस्टम को आक्रामक रूप से रक्षात्मक बना सकता है.
    • इसे हल्के, तेज़, portable और सुरक्षित firewall system के एक अतिरिक्त घटक के रूप में डिज़ाइन किया गया है.
    • यह हमलावर के reconnaissance चरण को धीमा और झंझटपूर्ण बनाकर सिस्टम की सुरक्षा बढ़ाता है.
    • यह user-level software है, इसलिए root privileges की आवश्यकता नहीं होती.
    • हर running instance केवल एक TCP पोर्ट से bind होता है.
    • इसे iptables rules के माध्यम से आसानी से customize किया जा सकता है.
    • इसका CPU और memory उपयोग कम है और यह multithreading को support करता है.
    • यह 9000 से अधिक dynamic service signatures प्रदान करता है, जिससे हमलावर का scanning software भ्रमित हो जाता है.

  • लेखक

    • Piotr Duszyński (@drk1wi).

  • व्यावसायिक उपयोग

    • Portspoof एक विशिष्ट license के तहत उपलब्ध है, और व्यावसायिक उपयोग के लिए लेखक के साथ license पर चर्चा आवश्यक है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-12-26
Hacker News की राय
  • कुछ operating systems में port 0 का उपयोग इंटरनेट के ज़रिए पहुंच योग्य service host के रूप में किया जाता है
  • MariaDB की default setting database को port 0 पर listen करने देती है, इसलिए इंटरनेट access को block करने की कोशिश कई systems पर प्रभावी नहीं होती
  • यह राय है कि computer security आगे चलकर "active defense" की ओर विकसित होगी
    • immune system की जटिलता और multi-layered structure की तुलना computer और network security से की गई है
  • email crawler spambots को रोकने के लिए random email addresses बनाने वाला web page तैयार करने का अनुभव साझा किया गया
  • यह संभावना उठाई गई कि server को hackers या bots द्वारा ज़्यादा probe किया जा सकता है या traffic बढ़ सकता है
    • संदेह जताया गया कि ज़्यादातर script kiddies संभावित honeypots को filter नहीं करेंगे
  • इसके DoS amplifier बन जाने की संभावना उठाई गई
    • यह सवाल पूछा गया कि क्या सही spoofed packets भेजकर बहुत सारे packets को मूल source पर वापस भेजा जा सकता है
  • इस बात पर सवाल उठाया गया कि यह हर running instance पर सिर्फ एक TCP port से ही bind होता है
    • यह पूछा गया कि क्या सभी ports को cover करने के लिए 65535 instances चलाने होंगे
  • "honeypot" शब्द का इस्तेमाल न किए जाने की सराहना की गई
    • अतीत में एक "असली" honeypot विरासत में मिलने पर उसके 30 ports खुले देखकर घबरा जाने का अनुभव साझा किया गया
  • port scan की speed बढ़ाने के लिए अलग-अलग IP वाले systems का उपयोग कर काम को बांटने का सुझाव दिया गया
  • security holes को advertise करने और blacklist बनाए रखने वाले ऐसे approach के स्वाभाविक विकास का ज़िक्र किया गया, जो बाद में असली systems को firewall के रूप में feedback देता है
  • यह राय दी गई कि दोनों techniques को साथ इस्तेमाल करने पर attackers के लिए असली services की पहचान करना कठिन हो जाएगा
    • यह सवाल उठाया गया कि क्या यह security through obscurity है
  • यह उल्लेख किया गया कि system के reconnaissance phase को ठीक से पूरा करने के लिए 8 घंटे से अधिक समय और 200MB data चाहिए
    • यह सवाल उठाया गया कि क्या यह security through obscurity है
  • यह मानते हुए कि शायद information security का पर्याप्त ज्ञान न हो, यह सवाल पूछा गया कि क्या exposed Redis instance की वजह से system अनचाहा अतिरिक्त ध्यान आकर्षित कर सकता है