Portspoof: Teknik untuk Mengemulasikan Layanan Valid di Semua 65535 Port TCP

 (github.com/drk1wi)
1 poin oleh GN⁺ 2024-12-26 | 1 komentar | Bagikan ke WhatsApp

  • Ikhtisar perangkat lunak Portspoof

    • Portspoof adalah perangkat lunak untuk memperkuat keamanan sistem operasi.
    • Dengan membiarkan semua 65535 port TCP selalu terbuka, penyerang tidak dapat memastikan status port.
    • Saat pemindaian port dilakukan, semua port dilaporkan berstatus OPEN sehingga pemindaian port siluman menjadi tidak efektif.
    • Setiap port TCP yang terbuka menghasilkan banner palsu melalui emulasi layanan untuk menipu pemindai.
    • Menggunakan basis data tanda tangan layanan dinamis untuk merespons probe layanan dengan tanda tangan yang valid.
    • Membuat penyerang sulit mengetahui nomor port sebenarnya pada sistem.

  • Seni pertahanan terhadap serangan

    • Portspoof dapat memanfaatkan alat dan eksploit milik penyerang untuk mengubah sistem menjadi lebih agresif dalam bertahan.
    • Dirancang sebagai elemen tambahan untuk sistem firewall yang ringan, cepat, portabel, dan aman.
    • Memperlambat dan mempersulit tahap pengintaian penyerang sehingga meningkatkan keamanan sistem.
    • Merupakan perangkat lunak level pengguna sehingga tidak memerlukan hak akses root.
    • Hanya terikat ke satu port TCP per instance yang berjalan.
    • Dapat dengan mudah dikustomisasi melalui aturan iptables.
    • Penggunaan CPU dan memorinya rendah serta mendukung multithread.
    • Menyediakan lebih dari 9000 tanda tangan layanan dinamis untuk membingungkan perangkat lunak pemindaian milik penyerang.

  • Penulis

    • Piotr Duszyński (@drk1wi).

  • Penggunaan komersial

    • Portspoof disediakan di bawah lisensi tertentu, dan untuk penggunaan komersial diperlukan pembahasan lisensi dengan penulis.

Bacaan terkait

1 komentar

 
GN⁺ 2024-12-26
Komentar Hacker News
  • Port 0 digunakan sebagai host layanan yang dapat diakses melalui internet di beberapa sistem operasi
  • Konfigurasi default MariaDB membuat database mendengarkan di port 0, sehingga upaya memblokir akses internet tidak efektif di banyak sistem
  • Ada pendapat bahwa keamanan komputer akan berevolusi menjadi "pertahanan aktif"
    • Kompleksitas dan struktur berlapis dari sistem imun dianalogikan dengan keamanan komputer dan jaringan
  • Ada pengalaman membuat halaman web yang menghasilkan alamat email acak untuk mencegah spam bot perayap email
  • Mengemukakan kemungkinan bahwa server akan lebih sering dipindai oleh peretas atau bot, atau lalu lintasnya meningkat
    • Meragukan bahwa sebagian besar script kiddie akan memfilter potensi honeypot
  • Mengemukakan kemungkinan menjadi penguat DoS
    • Menanyakan apakah dengan mengirim paket spoof yang tepat, banyak paket bisa dikembalikan ke sumber aslinya
  • Mempertanyakan fakta bahwa hanya satu port TCP yang di-bind per instance yang berjalan
    • Menanyakan apakah perlu menjalankan 65535 instance untuk mencakup semua port
  • Mengapresiasi bahwa kata "honeypot" tidak digunakan
    • Berbagi pengalaman pernah mewarisi honeypot "sungguhan" dan terkejut karena ada 30 port yang terbuka
  • Menyarankan bahwa pekerjaan dapat dibagi dengan menggunakan sistem dari berbagai IP untuk mempercepat pemindaian port
  • Menyebut evolusi alami dari pendekatan mengiklankan celah keamanan dan memelihara blacklist untuk diumpankan kembali sebagai firewall ke sistem nyata
  • Mengemukakan pendapat bahwa menggunakan dua teknik sekaligus akan menyulitkan penyerang mengidentifikasi layanan yang sebenarnya
    • Mempertanyakan apakah ini merupakan penggunaan obscurity demi keamanan
  • Menyebut bahwa untuk menjalankan tahap pengintaian sistem dengan benar dibutuhkan lebih dari 8 jam dan 200MB data
    • Mempertanyakan apakah ini merupakan penggunaan obscurity demi keamanan
  • Mungkin tidak memiliki cukup pengetahuan tentang keamanan informasi, tetapi mengajukan pertanyaan apakah sistem dapat menarik lebih banyak perhatian karena instance Redis yang terekspos