比较来自世界各地的卖家的域名和 IT 服务价格

隐藏在封闭的港口

我阅读了网站关于隐藏和封闭端口之间的区别。

http://www.grc.com/faq-shieldsup.htm
如果关闭,闭端将显示包装。 但是,隐藏端口根本没有响应。

是否建议隐藏您不使用的所有端口? 如果是这样,你是怎么做到的?
已邀请:

帅驴

赞同来自:

一些操作系统响应连接 (什么时候 TCP) 或不满意的包裹 (什么时候 UDP) 表明没有任何侦听的包。 某些操作系统可以配置为将传入数据包丢弃到任何未解释的端口。

在我看来,没有行为不是更好的。 我理解它很简单:不要运行列出传入连接的不必要的程序 / 包裹。 您需要运行的程序必须尽可能安全地配置。

在我看来,担心你的盒子对端口扫描的事实忽视了。 在我看来,Steve Gibson (这是管理的 GRC.com) 有点疯狂。 (他的页面“纳米罐”仍然是开放的?) 似乎他们的一些作品他激励了恐惧。

三叔

赞同来自:

这取决于你想要做的事情。 事实上,如果您不回答港口关闭的包裹,您将生命复杂化为法律用户,但也可能使任何试图破解盒子的攻击者的生活。 它不会阻止某人扫描盒子以找出哪些端口打开,但可以减慢它们。 它可以减少某人通常会发现您的系统存在的可能性。

这是一个在世界着名港口提供服务的系统吗? (例如,Web服务器). 然后尝试“隐藏”港口的港口会很少。 出色地。

这是一个没有任何关于您需要知道的系统的系统? 行为。

你没有说你使用的是哪个操作系统,所以如何做到这一点的答案变化。 在 Linux 从 iptables 你主要是使用 "-j DROP" 反而 "-j REJECT".

龙天

赞同来自:

有没有特殊原因想要隐藏港口? 它不会使您的计算机无形 (由于您的开放端口将继续响应端口扫描。), 将为您提供额外的工作并违反规则 RFC 791 (TCP). 您通常是扫描端口的对象,或者只是乘坐史蒂夫吉布森的Parano;)

在任何情况下,Steve Gibson都会在您指的页面上回答此问题:

http://www.grc.com/faq-shieldsup.htm#STEALTH
Q ShieldsUP! 将我的港口显示为“关闭”,而不是“隐形”,但我想要保密! 我怎么能得到“隐形”?

“隐藏”港口 - 这严格来说,违反了适当的行为规则 TCP / IP. 适当的行为要求封闭端口响应了获得的消息,但被拒绝。 这允许发送系统知道接收到其打开请求,并且她不需要重复尝试。 但是,当然,这种“肯定拒绝”还允许发件人知道系统真的存在于接收方上。 . . 在恶意黑客尝试渗透我们的系统时我们要避免的东西。

当我在本网站开发一个港口传感技术来描述封闭端口时,我进入了“隐身”一词,这更喜欢完全隐藏,而不会将任何东西恢复到他的尝试打开,更喜欢似乎不存在。

只要 «Stealthing» - 这是Internet系统的非标准行为,必须使用任何防火墙安全系统创建和提供此行为。 软件自己的界面 TCP / IP, 个人计算机使用,始终响应端口已关闭。 因此,在计算机系统中,您需要以“隐藏防火墙”的形式添加其他软件或硬件以抑制“封闭端口”的答案。

要获得系统的隐藏模式的完整状态,我强烈建议使用完全免费的防火墙 ZoneAlarm 2 经过 ZoneLabs, Inc. 访问他们的网站 www.ZoneLabs.com, 要了解有关此优秀和免费防火墙的更多信息,然后下载最新版本。 .

奔跑吧少年

赞同来自:

配置防火墙,使其自动丢弃它们而不是答案。 大多数防火墙都有办法做到这一点。 我最后一次需要它,我用过 ipf 的 OpenBSD, 这是一个“丢弃块”,反对“街区的回归”。

http://www.openbsd.org/faq/pf/filter.html#syntax
http://www.openbsd.org/faq/pf/ ... olicy

风见雨下

赞同来自:

了解这个页面有点困难。 也许他们写了孩子或卖无用货物的人。 所以,让我们先开始。

让我们讨论 TCP.

当有人试图连接到TCP端口时 (发送一个syn package), 您不想解决连接,您有几个答案选项:

1) 答案包 RST, 如果您不收听此端口,对应于协议 TCP. 通常你称之为“关闭”端口。 如果您在其上启动某些服务,则将此端口“隐藏”命名为“隐藏”,这是合理的。

2) 确认连接并立即禁用它们。 (RST 或者 FIN). 包装 TCP 历史上有这种障碍的化合物的行为。

3) 忽略包裹。 这是一个相当普遍的现象。 称这个港口是合理的 "隐" porto,如果您在允许与其他源的连接的某些服务。

4) 拍摄连接并忽略此连接的其他包。 这可能会刺激攻击者,虽然它可能不会添加真正的安全性。

5) 回答一个合理的错误 ICMP. 这通常由路由器完成。 (包括防火墙), 但不是通常做的 "防火墙" 基于主机。

6) 回答不合理的错误 ICMP. 生气 / 混淆攻击者

7) 回答不一致的和随机。 这可能会刺激攻击者,但可能不会增加真正的安全性。

你回答的方式取决于你的目标。 如果您希望机器似乎是无效节点,则无论您是否已启动服务,您都必须忽略包 (这允许来自其他来源的连接) 或不。 但是,如果你要回答任何流量,它就不会有助于隐藏你的存在。

如果你想只是禁止连接而不是试图隐藏你的IP地址是活动的,最好最好回答包裹 RST, 无论您是在聆听此端口吗? 它隐藏了,如果您的服务允许从某些地址与此端口的连接,或者在此端口上没有启动服务。

选择 №4 或者 №7 可能让人失望使用Port扫描仪,但可能会不时对您带来的不便。 事实上,这对您真正使用的地址来说并不是那么有用,但可能对诱饵有趣。

选项 №2 通常是因为一些流行的过滤程序 (例如, TCP Wrappers) 要求进行连接以获取源地址以确定是否应该允许。 这是基于OS的历史限制,这可能没有与现代操作系统的新安装的态度。

您的选择将取决于您的要求。 这包括您是否拥有允许从每个地址连接的任何端口,以及您是否拥有允许从某些地址连接的任何端口。

如果您不允许从任何源的传入连接,您也可以丢弃所有禁止的包。 这隐藏了您的汽车的存在,这减少了随机攻击者认为这是一个有效地址的可能性。

如果您允许从某些端口上的任何源以及其他端口上的某些源的传入连接 - 非常常见的配置 - 你有几个合理的选择。 如果你发送回来 RST 对于根本不倾听的端口,但对于故意禁止的端口表达不同的端口,您展示了您允许从所选源的连接到哪些端口。 我认为最好的选择 - 退还 RST 无论您是从源代码的全部侦听此端口或禁止连接。

这正是威胁模型应该包括的安全问题,解释您提供的服务与所选源相比,以及您需要帮助定义安全策略的安全策略或解释。 额外的混乱导致在没有明确的定义的情况下引入新术语。

裸奔

赞同来自:

对于客户端系统,软件防火墙已正确配置。

必须

让你的港口“看不见”。 我刚刚推出了我的个人电脑,可在互联网上提供 Sheilds Up, 所有端口都被称为隐藏。

当我设置防火墙时,我不喜欢封闭端口通过防火墙传输信息时,攻击者可以用于了解我的环境,但是拥有

打开

可以使用攻击者的端口更糟糕。

要回复问题请先登录注册