Будет ли возможность появиться, как будто сервер не'т существуют? Можно ли иметь все запросы верю хост-имя не может быть решена, если отдельные фразы был в заявке? Есть некоторые доказательства существования сервера, что не может быть скрытых владельцем сервера? Будет ли какой-либо практический дополнительной безопасности?
Вы можете установить свой сервер, чтобы нормально удалить все входящие пакеты и открыт только порт после того, как он получает/видит множество пакетов, которые определяют конкретную последовательность портов (это называется порт стучится). Я использую эту технику с моего сервера, вы не можете нормально видеть сервер, потому что он отбрасывает все входящие пакеты. После того, как порт стучится пакеты доходят до сервера, то сервер будет принимать пакеты от 'стук' - адреса, но продолжают падать пакеты с других адресов.
Безопасности лучше, с помощью этого метода, поскольку IP-сканирование и попытку скоты выиграли'т быть большой проблемой для вас. Для того, чтобы взломать сервер должен быть разведчик, чтобы выяснить, какие сервисы запущены, какая ОС и т. д. Отказывая злоумышленник эту информацию, он делает это тяжелее для него, чтобы обработать его атаки для вашего устройства. Слабость этой защиты заключается в том, что если злоумышленник сможет видеть входящих свалив пакеты, тогда они смогут открыть этот порт.
это возможно, чтобы появиться, как будто сервер не'т существуют ... если конкретные фразы был в заявке?
Я думаю, что вы говорите о HTTP (т. е. на "Веб", У) и HTTP-запрос здесь, хотя вы не'т указать, какую просьбу вы на самом деле имеете в виду. В случае HTTP-запрос такого сокрытия не возможно, потому что HTTP-это прикладной протокол поверх TCP. Это означает, что клиент должен сначала установить соединение TCP, который включает в себя ответ от сервера до клиента даже отправить данные приложений (т. е. HTTP-запрос) и, таким образом, HTTP-сервер показал независимых запроса.
Это может быть разной с другими протоколами. Например, DNS (разрешения имен хостов в IP-адреса), как правило, выполняются в UDP, который не гарантирует доставку противоречит протоколу TCP. Это означает, что запрос с полезной нагрузкой-это первый пакет, отправленный клиентом. Таким образом, сервер может быть создан с УДП, который отвечает только в случае, если запрос DNS для определенного домена и падение любой другой запрос. Таким образом, сервер будет раскрыть свое существование, только если правильный запрос был отправлен. Подобные вещи можно сделать с SIP (телефония через интернет), который обычно делается через UDP.
Есть ли возможность все запросы верю хоста не может быть разрешено ...?
Разрешения имени хоста в IP-адрес производится еще до отправки запроса к серверу по данному IP-адресу и сам, как правило, сервер даже не участвует в этом ДНС урегулирования процесса. Это означает, что даже с протоколами без установления соединения клиент не получает информацию о том, что имя не может быть решен, если запрос был неправ. Самый клиент получит информацию о том, что цель не ответ, который можно истолковать, что сервер не настроен на этот IP-адрес или сервер отключен, защищен брандмауэром или просто сбрасывают неожиданных пакетов.
это возможно, чтобы появиться, как будто сервер не'т существуют?
Да, хотя это нетривиальная. Это зависит от поведения вашего провайдера, когда сервер не существует. Некоторые поставщики услуг интернета настроить свои маршрутизаторы на отбрасывание пакетов, если IP пакет пытались достичь не существует, другие отправить сообщение отказа пакеты обратно отправителю. Кроме того, некоторые маршрутизаторы имеют адаптивное поведение, и изменить свое поведение, если он считает, что она может быть под атакой. Некоторые провайдеры могут дискриминировать на основании того, где зондирующего пакеты пришли от (например, пакеты из стран/провайдеров, которые часто проходят вредоносные клиенты могут быть обработаны более враждебно, чем те, с передовой практики сети).
Если вы настроить ваш сервер, чтобы просто отбросить все нераспознанные пакеты, которые на самом деле могут быть доказательства сервере's существование, если поставщик услуг интернета обычно отправляет сообщение отклонить. Если ваш интернет-провайдер's маршрутизатор адаптивно изменять свое поведение в период активного нападения, и свой сервер Дон'т держать ногу с тем, что провайдер делает, то что может быть на самом деле стал доказательством сервер. Кроме того, ваш интернет-провайдер может иметь собственную магистральную сеть провайдера, который может иметь свой собственный набор поведения.
Есть ли возможность все запросы верю хост-имя не может быть решен
Да, просто не'т зарегистрировать свои имена в общественные системы DNS. Хосты в системе публичных DNS-это намеренно общественности. Если он зарегистрирован в публичном DNS, то кто-нибудь может запрашивать DNS-записи для подстановки IP-адреса, связанные с именем хоста. Однако вы можете определить имена узлов, которые могут быть распознаны только свои машины (т. е. использовать hosts-файл) или запустить свой собственный DNS-сервер.
Есть ли доказательства существования сервера, что не может быть скрытых владельцем сервера?
Любой публично маршрутизируемые IP-адреса у записи государственной собственности, которые могут быть запрошены, используя инструмент whois, чтобы выяснить, кто ваш интернет-провайдер. Ваш провайдер (или врага, который компрометирует или работает с интернет-провайдером) может контролировать все пакеты, проходящие через их сети, и они могут видеть, что входящие пакеты не ранее исходящих пакетов в качестве доказательства сервере.
будет ли какой-либо практический дополнительной безопасности?
Если у вас есть плохой практики безопасности, в первую очередь, быть невидимыми, могут эффективно отвернуться многих простодушных и неискушенных ботов нападающих. Более изощренные злоумышленники могут найти способы обойти невидимку. Если у вас есть хорошие методы защиты, с помощью строгой аутентификации и шифрования, быть скрытых не важно, что многое в плане безопасности.
Вероятно, лучшее место, чтобы спрятать лист, чтобы спрятать его в дерево/лес. Если вы работаете в общеизвестной сервера и шифрования всего трафика на сервер (только по протоколу HTTPS), то есть мало того, что посторонние могут сделать, чтобы различать трафик на сайт и посещаемость скрытые сайте. Единственное, что вам нужно, чтобы рассмотреть, что ТЛС утечек имя хоста назначения в заголовке сни. Покуда вы либо обманывать свой заголовок сни или если вы используете сервер'ы имя, тогда ваш скрытый сервер должен оставаться скрытым.
Я использую (и quot fwknop
;ФИРЛВтв КНОК ОРоператор") смотрите в стелс порты:
С fwknop развернуто, кто использует Nmap для Смотреть для sshd может'т даже сказать, что он слушает - это делает никакой разницы, если они хотят работать взломщик паролей против команды, или даже если они есть 0-day атак.
Она работает даже для становясь невидимым портов СШ за
нац`.
Если вы хотите ограничить доступ к одному ИС
вы можете достичь того же эффекта с помощью команды сетевой экран
по умолчанию политику deny (iptables в -п ввод падение
) & добавить разрешающие правила для конкретных источник
IP-адресов:
`в iptables -a ввод -я через eth0 -п ПТС -ы 1.2.3.4 --dport 80 -j, его принять
Есть еще один способ, чтобы иметь сервер скрыты от интернета, и это использовать скрытые сайте-ТОР. Эти сервера предназначены только, чтобы быть доступной через сеть Tor, а только адресно с ТОР .лук-адрес.
В прошлом такого рода скрытые сервера были использованы для целого ряда причин, таких как анти-цензура сайтах, анонимной электронной почты, и в некоторых случаях (типа Шелкового пути) скрытые сайты используются для продать/купить противозаконных.
Если вам интересно, посмотрите здесь: https://www.torproject.org/docs/tor-hidden-service.html.en
Как уже упоминалось, эта техника называется "стучать Порту и".
Мокси фамильный герб семьи создала инструмент под названием "knockknock на", которая делает именно это.
Я считаю, что объяснение как инструмент работы-это очень хорошо, чтобы понять концепцию. Цитирую с его страницы:
сервера запустить приложение на Python 'knockknock-демон', и клиентам открыть порты на этих серверах, запустив приложение на Python 'knockknock'
'knockknock-демон' просто хвосты Керн.журнал. Это не'т привязать к любой розетки, в libpcap нагрузки и проверять каждый пакет, или послать все на В Сети вообще.
когда вы хотите открыть порт от клиента, бежать 'knockknock', который посылает один пакет SYN на сервер. Пакет'ы и IP и TCP заголовки кодируются, чтобы представлять Инд-ОАС безопасный зашифрованный запрос , Чтобы открыть указанный порт источника IP-адрес.
поля из этого пакета записываются в Kern.бревно и обрабатывается 'knockknock-демон', который проверяет их.
подключение от клиента сейчас-открыть порт на сервере.
порт закрывается за вами, а не'т допустить никаких новых подключений.