终于学会了端口敲击技术，灰产安全大大增强了

lilyhcn1

md写的，论坛传上来就乱了，不管了，有兴趣就看看吧。


1.防火Q准备
放行不要安全的端口，其它端口先全部拒绝
方法1：我是安装了可视化的防火Q软件gufw，但自己其它的虚拟机总有问题。

gufw安装方法如下：

apt-get install gufw
注意：

另外，如果已连接上灰产，不断开的话，怎么操作灰产都不会断开。

方法2：直接用ufw的命令如下：

ufw allow 22 /tcp
ufw allow 10000:10010 /tcp
应该是关闭要增强部分端口，即可，但我试了一下，不行。



2.安装 knockd并配置
在基于Debian的系统上，可以使用以下命令安装 knockd：



apt-get install knockd
编辑 knockd 配置文件：

nano /etc/knockd.conf


[options]
    logfile = /var/log/knockd.log
​
[open8080]
    sequence = 30212
    seq_timeout = 10
    command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 8080 -j ACCEPT; sleep 60; /sbin/iptables -D INPUT -s %IP% -p tcp --dport 8080 -j ACCEPT
    tcpflags = syn
​
[open63000]
    sequence = 30212
    seq_timeout = 10
    command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 63000:63999 -j ACCEPT; sleep 60; /sbin/iptables -D INPUT -s %IP% -p tcp --dport 63000:63999 -j ACCEPT
    tcpflags = syn
​
​
​
修改配置文件并重启服务

systemctl daemon-reload & systemctl restart knockd
端口敲击后一定要查看日志，看是否有记录

nano /var/log/knockd.log
比如我的

root@VM-4-4-debian:~# cat /var/log/knockd.log
[2024-07-20 14:14] 49.89.xx.xx: open8080: Stage 1
[2024-07-20 14:14] 49.89.xx.xx: open8080: OPEN SESAME
[2024-07-20 14:14] 49.89.xx.xx: open63000: Stage 1
[2024-07-20 14:14] 49.89.xx.xx: open63000: OPEN SESAME
[2024-07-20 14:14] open8080: running command: /sbin/iptables -A INPUT -s 49
3.如何使用
再附带一个自己写的bat脚本，另存为bat即可。

curl --max-time 1 http://aaa.com:30212
start mstsc

hins

改个端口会死？

ru1404

这是干啥用的

lilyhcn1

正常任何人都可以访问22端口，并进行爆破，
端口敲击服务安装后，必须要先访问 30212端口，并在60秒内才能访问22端口。
这样就安全多了。

icon

用个证书登录有那么难么
用堡垒机/跳板机登录ssh管理自己小鸡不是更安全么

micboy

改ssh端口+密钥+fail2ban是不是效果也一样

hcyme

坐鸡的一个密钥足够，其它默认，从来没操心过什么jb爆破

acm

这个好像也能做mtp防封吧

michaol

改为密钥登录不是一了百了？

hostvps

这个防止被Q有作用吧