Làm cách nào tôi có thể giả mạo cổng 22 khi tôi thực hiện sshd nghe cổng khác?

Thay vì làm cho các tin tặc có thể từ cổng quét máy chủ của tôi, tôi chỉ muốn giả mạo rằng sshd đang lắng nghe trên cổng 22 và ghi lại các lần thử. Nó sẽ có ý nghĩa làm điều đó? Nếu có, những gì các công cụ / thư viện tích cực phát triển có sẵn.

Bạn có thể sử dụng một honeypot sshd như Kippo hoặc Kojoney

Bạn cũng có thể chỉ cần ghi lại tất cả các nỗ lực để kết nối với cổng 22 bằng iptables, ngay cả khi không có gì nghe trên cổng đó:

$ sudo iptables -A INPUT -p tcp  --dport 2222 -j LOG
$ nc localhost 2222
$ tail -n1 /var/log/syslog
Oct 26 13:35:07 localhost kernel: [325488.300080] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=56580 DF PROTO=TCP SPT=35625 DPT=2222 WINDOW=43690 RES=0x00 SYN URGP=0 

Để trả lời câu hỏi "Liệu nó có ý nghĩa khi làm điều đó?" Tôi hỏi, "Bạn có phải là nhà nghiên cứu bảo mật không?" Nếu bạn trả lời có, thì chạy ssh honeypot sẽ có ý nghĩa.

Nếu bạn chỉ đang chạy một dịch vụ sản xuất và bạn không quan tâm đến việc quét thất bại, chỉ cần chạy sshd của bạn trên một cổng khác với các cơ chế xác thực bổ sung (như chỉ khóa công khai hoặc yêu cầu thiết bị Yubikey hoặc tương tự) và thả cổng 22 giao thông mà không đăng nhập nó.

Có những con sâu ssh mạnh mẽ quét tích cực Internet sẽ thăm dò cổng ssh của bạn suốt cả ngày và nếu bạn không xem dữ liệu từ nhật ký tường lửa hoặc honeypots, tất cả những gì bạn đang làm là lãng phí dung lượng đĩa.

Bạn muốn có một honeypot.

Ví dụ: http://code.google.com.vn/p/kippo/