V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
nmap
V2EX  ›  Linux

Linux 怎么隐藏监听的端口?

  •  
  •   nmap · 289 天前 · 2845 次点击
    这是一个创建于 289 天前的主题,其中的信息可能已经有所发展或是发生改变。
    在本机上隐藏,比如用 netstat/ss 等命令看不到,
    但从外面可以正常访问 ,
    有什么奇技淫巧吗?
    欢迎脑洞大开
    13 条回复    2024-03-12 15:07:56 +08:00
    dbg
        1
    dbg  
       289 天前 via Android
    Linux rookit
    fredcc
        2
    fredcc  
       289 天前 via Android
    木马的基本功能,一般是替换系统的 netstat 和 ss 文件实现
    ho121
        3
    ho121  
       289 天前 via Android
    iptables
    pagxir
        4
    pagxir  
       289 天前 via Android
    用 raw socket 就看不到
    idontnowhat2say
        5
    idontnowhat2say  
       289 天前
    ebpf
    PTLin
        6
    PTLin  
       289 天前
    对于 ss 这种用 Netlink 的 epbf lsm 到 socket_create 应该就行
    0x20H
        7
    0x20H  
       288 天前
    我记得见到过一次用 iptables 规则写的敲门技巧,大概就是默认情况下某个端口是关闭的,通过 ping X 次服务器触发 iptables 规则开放这个端口,再 ping X 下触发规则关闭端口。这是对外的,扫描器规则一般无法触发。

    对内 netstat/ss 这种可以替换,或者 alias 写个同名函数,过滤掉要隐藏的端口,但都不保险。

    持久化的话没必要让木马一直活动吧,或者没必要用这种需要网络连接的方式吧,其他方法呗
    s82kd92l
        8
    s82kd92l  
       288 天前
    黑产?
    dode
        9
    dode  
       287 天前
    命名空间,docker 主机模式网络
    lrh3321
        10
    lrh3321  
       287 天前
    raw socket
    DPDK

    或者弄个独立的网络命名空间/虚拟机
    bfdh
        11
    bfdh  
       287 天前
    rootkit +1
    skyrim61
        12
    skyrim61  
       286 天前
    类似于上面的这些技巧, 哪里可以学习的到?
    tomychen
        13
    tomychen  
       285 天前
    strace -o netstat.log netstat -antp
    会发现 netstat 会去/proc/net/tcp(6) 读当时网络连接
    至于隐藏就是 hook 了,至于 ring3 还是 ring0

    ```
    open("/proc/net/tcp", O_RDONLY) = 3
    read(3, " sl local_address rem_address "..., 4096) = 600
    write(1, "tcp 0 0 0.0.0.0:22 "..., 101) = 101
    write(1, "tcp 0 0 127.0.0.1:25"..., 101) = 101
    write(1, "tcp 0 196 192.168.10.6"..., 101) = 101
    read(3, "", 4096) = 0
    close(3) = 0
    ```
    read 进来,write 输出
    hook 任保一个 syscall 都可以达到屏蔽输出的需求
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1103 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 18:01 · PVG 02:01 · LAX 10:01 · JFK 13:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.