Portspoof: Eine Technik zur Emulation gültiger Dienste auf allen 65535 TCP-Ports

 (github.com/drk1wi)
1 Punkte von GN⁺ 2024-12-26 | 1 Kommentare | Auf WhatsApp teilen

  • Überblick über die Portspoof-Software

    • Portspoof ist eine Software zur Erhöhung der Sicherheit von Betriebssystemen.
    • Sie hält alle 65535 TCP-Ports ständig offen, sodass Angreifer den Portstatus nicht feststellen können.
    • Bei Port-Scans werden alle Ports als OPEN gemeldet, wodurch Stealth-Port-Scans wirkungslos werden.
    • Jeder offene TCP-Port erzeugt über Service-Emulation gefälschte Banner, um Scanner zu täuschen.
    • Mithilfe einer dynamischen Datenbank von Service-Signaturen antwortet sie auf Service-Probes mit gültigen Signaturen.
    • Dadurch wird es für Angreifer schwierig, die tatsächlichen Portnummern des Systems zu ermitteln.

  • Die Kunst der Angriffsabwehr

    • Portspoof kann die Tools und Exploits von Angreifern nutzen, um ein System in ein aggressives Verteidigungsmittel zu verwandeln.
    • Es ist als leichtgewichtiges, schnelles, portables und sicheres zusätzliches Element eines Firewall-Systems konzipiert.
    • Es verlangsamt und erschwert die Aufklärungsphase von Angreifern und erhöht so die Sicherheit des Systems.
    • Es ist User-Space-Software und benötigt keine Root-Rechte.
    • Pro laufender Instanz wird nur ein TCP-Port gebunden.
    • Über iptables-Regeln lässt es sich einfach anpassen.
    • Es hat einen geringen CPU- und Speicherverbrauch und unterstützt Multithreading.
    • Es stellt mehr als 9000 dynamische Service-Signaturen bereit, um die Scanning-Software von Angreifern zu verwirren.

  • Autor

    • Piotr Duszyński (@drk1wi).

  • Kommerzielle Nutzung

    • Portspoof wird unter einer bestimmten Lizenz bereitgestellt; für die kommerzielle Nutzung ist eine Lizenzabsprache mit dem Autor erforderlich.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-12-26
Hacker-News-Kommentare
  • Port 0 wird auf einigen Betriebssystemen als Service-Host verwendet, der über das Internet erreichbar ist
  • Die Standardkonfiguration von MariaDB lauscht auf Datenbanken an Port 0, sodass der Versuch, den Internetzugang zu blockieren, auf vielen Systemen nicht wirksam ist
  • Es gibt die Meinung, dass sich Computersicherheit zu einer „aktiven Verteidigung“ weiterentwickeln wird
    • Die Komplexität und mehrschichtige Struktur des Immunsystems wird mit Computer- und Netzwerksicherheit verglichen
  • Jemand berichtet von der Erfahrung, eine Webseite erstellt zu haben, die zufällige E-Mail-Adressen erzeugte, um E-Mail-Crawler-Spambots aufzuhalten
  • Es wird die Möglichkeit angesprochen, dass ein Server von Hackern oder Bots stärker sondiert wird oder der Traffic zunimmt
    • Es wird vermutet, dass die meisten Script-Kiddies potenzielle Honeypots nicht herausfiltern werden
  • Es wird die Möglichkeit angesprochen, dass dies zu einem DoS-Verstärker werden könnte
    • Es wird gefragt, ob man durch das Senden korrekt gespoofter Pakete viele Pakete an die ursprüngliche Quelle zurückschicken kann
  • Es wird infrage gestellt, dass pro laufender Instanz nur an einen TCP-Port gebunden wird
    • Es wird gefragt, ob 65.535 Instanzen laufen müssen, um alle Ports abzudecken
  • Positiv hervorgehoben wird, dass das Wort „Honeypot“ nicht verwendet wurde
    • Jemand teilt die Erfahrung, früher einen „echten“ Honeypot übernommen zu haben und irritiert gewesen zu sein, dass 30 Ports offen waren
  • Es wird vorgeschlagen, die Arbeit auf Systeme mit unterschiedlichen IPs zu verteilen, um die Geschwindigkeit von Port-Scans zu erhöhen
  • Es wird die natürliche Weiterentwicklung eines Ansatzes erwähnt, Sicherheitslücken zu bewerben und eine Blacklist zu pflegen, um diese als Firewall-Feedback an reale Systeme zurückzuspielen
  • Es wird die Ansicht geäußert, dass die gemeinsame Nutzung beider Techniken es Angreifern erschweren würde, echte Dienste zu identifizieren
    • Es wird die Frage gestellt, ob das Security through Obscurity ist
  • Es wird erwähnt, dass für eine ordentliche Reconnaissance-Phase des Systems mehr als 8 Stunden und 200 MB Daten nötig sind
    • Es wird die Frage gestellt, ob das Security through Obscurity ist
  • Es wird die Frage gestellt, ob das System wegen einer exponierten Redis-Instanz mehr Aufmerksamkeit auf sich ziehen könnte, auch wenn möglicherweise nicht genug Wissen über Informationssicherheit vorhanden ist