你有沒有想過用你的路由器來“敲宿舍門”這樣一種特殊的方式,只在你的路由器被發現的時候才“開門”呢?howtogeek解釋瞭如何在DD-WRT上安裝敲打守護程序。
Bfick和Aviad Raviv的圖片
如果您還沒有,請確定並檢視本系列中以前的文章:
假設你熟悉這些主題,繼續閱讀。請記住,這本指南是一個多一點技術,初學者應該小心時,修改他們的路由器。
傳統上,為了能夠與裝置/服務進行通訊,必須與之建立完整的網路連線。然而,這樣做暴露了在安全時代所謂的攻擊表面。Knock守護程序是一種網路嗅探器,它可以在觀察到預先配置的序列時做出反應。由於不必為了敲打守護程序識別配置的序列而建立連線,因此在保持所需功能的同時減少了攻擊面。在某種意義上,我們將用所需的“兩位”響應對路由器進行預處理(不像可憐的羅傑…)。
在本文中,我們將:
注意:雖然安裝說明不再相關,但您可以觀看我建立的電影系列“way back when”,以瞭解配置到敲門的整個過程。(請原諒粗俗的陳述)。
關於“敲門有多安全”的討論?“,很長,可以追溯到幾千年前(網際網路年),但底線是:
敲打是一種隱晦的安全層,它只應用於增強加密等其他手段,而不應單獨作為一種最終的安全措施。
安裝和基本配置
透過開啟路由器的終端併發出以下命令來安裝敲門守護程式:
opkg update ; opkg install knockd
現在安裝了Knockd,我們需要配置觸發序列和觸發後將執行的命令。為此,請開啟“敲打d.conf“文字編輯器中的檔案。在路由器上,這將是:
vi /opt/etc/knockd.conf
使其內容看起來像:
[opti***] logfile = /var/log/knockd.log UseSyslog
[wakelaptop] sequence = 56,56,56,43,43,43,1443,1443,1443 seq_timeout = 30 command = /usr/**in/wol aa:bb:cc:dd:ee:22 -i $( nvram get lan_ipaddr | cut -d . -f 1,2,3 ).255 tcpflags = sync
讓我們來解釋一下以上內容:
要新增更多序列,只需複製並貼上“wakelaptop”段,並使用路由器要執行的新引數和/或命令進行調整。
要讓路由器在啟動時呼叫守護程序,請將以下內容附加到OPKG指南中的“geek init”指令碼中:
knockd -d -c /opt/etc/knockd.conf -i "$( nvram get wan_ifname )"
這將啟動路由器“WAN”介面上的敲打守護程序,以便它偵聽來自internet的資料包。
在可移植的時代,“有一個應用程式”幾乎是必不可少的……所以StavFX為這個任務建立了一個:)這個應用程式可以從你的Android裝置上執行敲擊序列,並且它支援在你的主螢幕上建立小部件。
請記住,雖然我們已經為示例配置檔案配置了每個埠3個組(由於下面的Telnet部分),但是對於這個應用程式,對每個埠的重複次數(如果有的話)沒有限制港口。有嗎使用StavFX捐贈的應用程式的樂趣:-)
來自Windows/Linux
雖然可以使用最簡單的網路實用程式(又稱“Telnet”)來執行敲打,但微軟已經認定Telnet存在“安全風險”,因此預設情況下不再在現代windows上安裝。如果你問我“那些為了暫時的安全而放棄基本自由的人,既不應該得到自由,也不應該得到安全。~z~本傑明·富蘭克林,“但我離題了。
我們將示例序列設定為每個埠3個組的原因是,當telnet無法連線到所需的埠時,它將自動再重試2次。這意味著telnet在放棄之前會敲3下。所以我們所要做的就是對埠組中的每個埠執行一次telnet命令。這也是選擇30秒超時間隔的原因,因為我們必須等待每個埠的telnet超時,直到執行下一個埠組。建議在完成測試階段後,使用一個簡單的批處理/Bash指令碼自動執行此過程。
使用我們的示例序列,這看起來像:
如果一切順利的話,就應該這樣了。
故障排除
如果您的路由器對序列沒有反應,以下是您可以採取的幾個故障排除步驟:
tail -f /var/log/knockd.log
knockd -d -i "$( nvram get lan_ifnameq )" -c /opt/etc/knockd.conf
Once the above is executed, you can direct the Knocking client to the router’s internal IP instead of its external one. Tip: Because knockd listens at the “interface” level and not IP level, you may wish to have an instance of KnockD running on the LAN interface all the time. As “Knocker” has been updated to support two hosts for knocking, doing so will in order to simplify and c***olidate your knocking profiles.
While the above example could be accomplished by various other methods, we hope that you can use it to learn how to accomplish more advance things.
A part two to this article that hides the VPN service behind a knock is coming, so stay tuned.
透過敲門,您將能夠:動態開啟埠,禁用/啟用服務,遠端WOL計算機和更多…
...PN服務,那麼您應該確保始終為其修補安全漏洞。 相關:如何根據您的需求選擇最佳的VPN服務 選項一:獲取具有vpn功能的路由器 您可以購買一個預構建的VPN解決方案,而不是自己嘗試這樣做。高階家庭路由器通常帶有內建的VPN...
...中之一。 監視路由器上的頻寬和資料使用情況 相關:如何在路由器上使用自定義韌體,以及為什麼您可能希望 最準確的監控方法是在路由器上。網路上的所有裝置都透過路由器連線到Internet,因此這是可以監視和記錄頻寬使...
...外的地方,你實際上正在使用網際網路。在我們深入研究如何配置路由器以使用VPN網路之前,讓我們先來看看什麼是VPN以及人們為什麼要使用VPN的速成課程(有一些有用的連結,可以連結到以前的how to Geek文章,以供進一步閱讀...
DHCP使得為家庭網路配置網路訪問變得簡單,而埠轉發使得從任何地方訪問這些計算機變得容易。透過在路由器上配置靜態DHCP,您可以將兩者結合起來。 dhcp和埠轉發的問題 DHCP很棒。你把路由器配置成自動分配IP地址,你網路...
...的Xbox Live connect等)具有最大的頻寬和最佳的ping時間。 如何在路由器上實現服務質量 有數百種不同的路由器有著完全不同的韌體和功能。有些路由器的服務質量設定非常簡單,可以讓您將來自一臺計算機的流量優先於另一臺計...
...偉大的應用,我們推薦它。 檢查isp的web介面 相關:如何應對網際網路頻寬上限 如果你的網際網路服務提供商正在跟蹤你的頻寬使用情況,並要求你達到上限,他們可能會在他們的帳戶網站上提供一個頁面,顯示你上個月使...
...,這些基於Linux的開源專案可能不會包括業餘的後門。 如何安裝第三方路由器韌體 相關:把你的家庭路由器變成一個超級電源路由器與DD-WRT 如果要使用第三方路由器韌體,首先需要選擇要使用的韌體。OpenWrt是一個功能強大的...
...放地訪問你的整個區域網。請繼續閱讀,我們將向您展示如何為雙ssid設定路由器,併為您的客人建立一個單獨的(安全的)訪問點。 我為什麼要這麼做? 想要將家庭網路設定為具有雙接入點(AP)有幾個非常實際的原因。 對...
我們已經向您展示瞭如何透過路由器上的“埠敲門”遠端觸發WOL。在本文中,我們將展示如何使用它來保護VPN服務。 Aviad Raviv&bfick提供的圖片。 前言 如果您使用過DD-WRT的VPN內建功能,或者在您的網路中有另一個VPN伺服...