ฉันจะปลอมพอร์ต 22 เมื่อฉันทำ sshd ฟังพอร์ตอื่นได้อย่างไร

แทนที่จะทำให้แฮกเกอร์ที่เป็นไปได้จากการสแกนพอร์ตของฉันฉันอยากจะปลอมว่า sshd กำลังฟังบนพอร์ต 22 และบันทึกความพยายาม มันจะทำให้รู้สึกว่าทำอย่างนั้น? ถ้าใช่เครื่องมือ / ไลบรารีที่ได้รับการพัฒนาจะพร้อมใช้งาน

คุณสามารถใช้ honeypot SSHD เช่นKippoหรือKojoney

นอกจากนี้คุณยังสามารถบันทึกความพยายามทั้งหมดเพื่อเชื่อมต่อกับพอร์ต 22 ด้วย iptables แม้ว่าจะไม่มีสิ่งใดฟังบนพอร์ตนั้น:

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0 

เพื่อตอบคำถาม "จะเป็นการเหมาะสมหรือไม่?" ฉันถามว่า "คุณเป็นนักวิจัยด้านความปลอดภัยหรือไม่" หากคุณตอบว่าใช่แล้วการเรียกใช้ honeypot ของ SSH จะสมเหตุสมผล

หากคุณเพียงแค่ใช้บริการการผลิตและคุณไม่สนใจเกี่ยวกับการสแกนที่ล้มเหลวเพียงแค่เรียกใช้ sshd บนพอร์ตอื่นที่มีกลไกการตรวจสอบสิทธิ์เพิ่มเติม (เช่นกุญแจสาธารณะเท่านั้นหรือต้องใช้ Yubikey หรืออุปกรณ์ที่คล้ายกัน) แล้วปล่อยพอร์ต 22 ปริมาณการใช้โดยไม่ต้องเข้าสู่ระบบ

มีเวิร์ม ssh กำลังดุร้ายกำลังสแกนอินเทอร์เน็ตที่จะตรวจสอบพอร์ต ssh ของคุณตลอดทั้งวันและหากคุณไม่ได้ดูข้อมูลจากบันทึกไฟร์วอลล์หรือ honeypots สิ่งที่คุณทำคือการสิ้นเปลืองพื้นที่ดิสก์

คุณต้องการ honeypot

ตัวอย่าง: http://code.google.com/p/kippo/