在網絡安全領域，SSH（Secure Shell）是一種常用的加密協議，用于在不安全的網絡上進行安全的遠程登錄和其他安全網絡服務。然而，SSH服務默認監聽的22端口常常成為攻擊者的目標，他們會使用各種方法嘗試破解SSH密碼，從而獲得系統的控制權。為了保護SSH服務，除了基本的強密碼和雙因素認證外，還有一種名為“端口敲門”的技術可以顯著提高SSH的安全性。

什么是端口敲門？

端口敲門（Port Knocking）是一種安全措施，它通過在防火墻上動態打開端口來允許合法用戶訪問受保護的服務。具體來說，端口敲門技術要求用戶在嘗試連接到SSH服務之前，按照預定義的順序訪問一系列隱藏端口。這種技術通過在網絡層添加額外的驗證步驟，有效地隱藏了實際的服務端口，并減少了被暴力破解的風險。

端口敲門的工作原理

• 預定義端口序列：管理員設定一組特定的端口序列，例如，訪問端口1111、2222和3333，順序和時間間隔都非常重要。
• 防火墻配置：防火墻初始配置為拒絕所有進入的SSH連接請求。
• 敲門事件：用戶在嘗試SSH連接之前，必須按照正確的順序和時間間隔訪問預定義的端口序列。
• 防火墻規則更新：當防火墻檢測到正確的端口敲門序列時，它會暫時開放SSH端口（如22端口），允許該用戶的IP地址連接SSH服務。
• 連接和關閉：用戶成功連接SSH后，防火墻可以設置為在一段時間后自動關閉SSH端口，以恢復安全狀態。

端口敲門的優點

• 隱藏性：由于服務端口關閉，因此對外部觀察者來說，系統上可能存在的服務是不可見的。
• 安全性：不會直接暴露真實的服務端口，只有在正確的端口敲擊序列被觸發后才會打開相應的端口，這增加了系統的安全性。
• 防止掃描攻擊：由于服務端口一直處于關閉狀態，因此對端口的掃描攻擊幾乎沒有意義。

實現端口敲門

實現端口敲門的方法有很多種，下面介紹使用 knockd 工具實現端口敲門的基本步驟：

1.安裝 knockd

在大多數Linux發行版上，你可以通過包管理器安裝 knockd：

sudo apt-get install knockd

2.配置 knockd

安裝完成后，編輯 knockd 的配置文件，通常位于/etc/knockd.conf，添加你的敲門序列和相應的動作，例如：

[options]
    logfile = /var/log/knockd.log
[openSSH]
    sequence = 1234,5678,9012
    seq_timeout = 15
    command = /sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags = syn

[closeSSH]
    sequence = 9012,5678,1234
    seq_timeout = 15
    command = /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags = syn

我們需要修改的另一個配置是 /etc/default/knockd，例如：

# control if we start knockd at init or not
# 1 = start
# anything else = don't start
# PLEASE EDIT /etc/knockd.conf BEFORE ENABLING
START_KNOCKD=1

# command line options
KNOCKD_OPTS="-i eth0"

找到行START_KNOCKD=0 。取消注釋，并將值設置為 1。接下來，轉到取消KNOCKD_OPTS="-i eth1"注釋行，并將默認值替換為系統的活動網絡接口，要檢查您的網絡接口，只需運行 ip addr或 ifconfig命令。

3.啟動 knockd

配置完成后，啟動 knockd 服務，并設置開機啟動。

sudo systemctl start knockd
sudo systemctl enable knockd

啟動成功如下圖：

4.使用端口敲門

要使用端口敲門，可以使用 knock 命令行工具或其他類似工具：

knock your.server.com 1234 5678 9012

完成敲門后，你的IP地址將被允許訪問SSH服務。

現在通過關閉端口進行測試，先通過192.168.31.103 9999 8888 7777關閉SSH端口。如下圖所示：

現在要登錄已經被完美阻擊了，如下圖：

要想登錄就要先敲門，輸入正確的敲門端口序列，如下：

knock  192.168.31.103  7777 8888 9999

成功敲門后，SSH端口就處于開放中，這時，我們就可以通過SSH登錄到服務器，如下圖所示：

其他服務器服務器想登錄該服務器，要先進行敲門才能正常訪問SSH端口。當客戶端正確敲門后，服務端會再防火墻插入一條策略。如下圖:

結論

端口敲門技術通過增加一個額外的驗證步驟，有效地提高了SSH服務的安全性。它不僅隱藏了實際的服務端口，還減少了被暴力攻擊的風險。雖然端口敲門并不能替代強密碼和雙因素認證等其他安全措施，但它作為一種額外的保護層，可以顯著增強系統的安全性。通過合理配置和使用端口敲門，你可以大大降低SSH服務被攻擊的概率，從而保護你的網絡資源和數據安全。