Portspoof: すべての 65535 TCP ポートで有効なサービスをエミュレートする技術

(github.com/drk1wi)

1 ポイント投稿者 GN⁺ 2024-12-26 | 1件のコメント | WhatsAppで共有

Portspoof ソフトウェア概要
- Portspoof は、オペレーティングシステムのセキュリティを強化するためのソフトウェア。
- 65535 個すべての TCP ポートを常に開いた状態にして、攻撃者がポートの状態を確認できないようにする。
- ポートスキャン時にすべてのポートを OPEN 状態として報告し、ステルスポートスキャンを無力化する。
- 各オープン TCP ポートは、サービスエミュレーションを通じて偽のバナーを生成し、スキャナを欺く。
- 動的サービスシグネチャデータベースを使用して、サービスプローブに有効なシグネチャで応答する。
- 攻撃者がシステムの実際のポート番号を把握しにくくする。
攻撃防御の技術
- Portspoof は、攻撃者のツールやエクスプロイトを活用してシステムを攻撃的に変換できる。
- 軽量・高速・ポータブル・安全なファイアウォールシステムの追加要素として設計されている。
- 攻撃者の偵察段階を遅く煩雑にすることで、システムのセキュリティを強化する。
- ユーザーレベルのソフトウェアであり、root 権限を必要としない。
- 実行インスタンスごとに 1 つの TCP ポートにのみバインドされる。
- iptables ルールによって簡単にカスタマイズできる。
- CPU とメモリの使用量が少なく、マルチスレッドをサポートする。
- 9000 件以上の動的サービスシグネチャを提供し、攻撃者のスキャンソフトウェアを混乱させる。
著者
- Piotr Duszyński (@drk1wi).
商用利用
- Portspoof は特定のライセンスのもとで提供されており、商用利用時には著者とのライセンス協議が必要。

1件のコメント

GN⁺ 2024-12-26

Hacker Newsのコメント

一部のオペレーティングシステムでは、ポート0がインターネット経由で到達可能なサービスホストとして使われる
MariaDBのデフォルト設定では、データベースがポート0で待ち受けるため、インターネットからのアクセスを遮断しようとする試みが多くのシステムで有効でない
コンピュータセキュリティは「能動的防御」へ進化していくだろうという意見がある
- 免疫システムの複雑さと多層構造を、コンピュータおよびネットワークセキュリティになぞらえている
メールクローラー型のスパムボットを防ぐために、ランダムなメールアドレスを生成するWebページを作ったことがある
サーバーがハッカーやボットによってより多く調査されたり、トラフィックが増えたりする可能性が指摘されている
- たいていのスクリプトキディは、潜在的なハニーポットを除外しないだろうという見方がある
DoS増幅器になる可能性があるという指摘がある
- 正しくスプーフィングされたパケットを送れば、多数のパケットを元の送信元へ返せるのではないかという疑問が出ている
実行インスタンスごとに1つのTCPポートにしかバインドされない点に疑問が呈されている
- すべてのポートをカバーするには65535個のインスタンスを動かす必要があるのか、という質問がある
「ハニーポット」という言葉が使われていない点を好意的に評価している
- 以前「本物の」ハニーポットを引き継いだ際、30個のポートが開いていて面食らった経験を共有している
ポートスキャンを高速化するために、異なるIPのシステムを使って作業を分散できると提案している
セキュリティホールを広告し、ブラックリストを維持して、実システムにファイアウォールとしてフィードバックするアプローチの自然な進化に言及している
2つの技術を併用すれば、攻撃者が実際のサービスを識別しにくくなるだろうという意見がある
- それはセキュリティのために不透明性を利用していることになるのではないか、という疑問が呈されている
システムの偵察段階をきちんと実行するには、8時間以上と200MBのデータが必要だと述べられている
- それはセキュリティのために不透明性を利用していることになるのではないか、という疑問が呈されている
情報セキュリティについて十分な知識がないかもしれないとしつつ、このシステムが公開されたRedisインスタンスのせいでより多くの注目を集める可能性があるのか、という質問が出ている

Portspoof: すべての 65535 TCP ポートで有効なサービスをエミュレートする技術

関連記事

1件のコメント

Hacker Newsのコメント