Obsah:
Definice - Co znamená Port Knocking?
Srážení portů je technika ověřování používaná správci sítě. Skládá se ze zadané sekvence pokusů o připojení uzavřeného portu k určitým IP adresám nazývaným knock sekvence. Tyto techniky používají démona, který sleduje soubory protokolu brány firewall a hledá správnou sekvenci požadavků na připojení. Navíc obecně určuje, zda je entita usilující o vstup do portu na schváleném seznamu IP adres.
Techopedia vysvětluje Port Knocking
Porážky portů, i když používají jednoduchou sekvenci jako "2000, 3000, 4000", by vyžadovaly obrovské množství pokusů o brutální sílu ze strany externího útočníka. Bez předchozí znalosti sledu by útočník musel vyzkoušet každou kombinaci tří portů od 1 do 65 535 a po každém pokusu by se musela provést kontrola, aby se zjistilo, zda se nějaké porty otevřely. Stejně tak by musely být přijímány správné tři číslice v pořádku, aniž by mezi tím byly přijaty žádné další datové pakety. Takový pokus o hrubou sílu by vyžadoval přibližně 9, 2 kvintilionových datových paketů, aby bylo možné úspěšně otevřít jednoduché jediné tříportové klepání. Navíc je tento pokus ještě obtížnější, když se jako součást klepání na port používají kryptografické hashe (způsob výroby jednorázových klíčů) nebo delší a složitější sekvence.
Ve skutečnosti, pokud by několik legitimních pokusů z různých IP adres otevírálo a uzavíralo porty, simultánní škodliví útočníci by byli zmařeni. A pokud by byl pokus o hrubou sílu úspěšný, bylo by třeba vyjednat také mechanismy zabezpečení přístavu a autentizaci služby. Navíc žádný útočník nemůže zjistit, že démon pracuje (tj. Port se zdá být uzavřen), dokud port úspěšně neotevřou.
Existuje několik nevýhod. Systémy klepání portů jsou velmi závislé na správném fungování démona a pokud to nefunguje, nelze s porty navázat spojení. Démon tak vytváří jediný bod selhání. Útočník také může uzamknout jakékoli známé IP adresy zasláním datových paketů s falešnými (tj. Spoofed) IP adresami na náhodné porty a IP adresy nelze snadno změnit. (To lze řešit pomocí kryptografických hash.) Konečně existuje možnost legitimních požadavků na otevření portu, které mohou zahrnovat TCP / IP směrovací pakety mimo provoz; nebo některé pakety mohou být vyhozeny. To vyžaduje, aby odesílatel znovu odeslal pakety.
