### 🔐 Port Knocking（端口敲门）简介

Port Knocking**（端口敲门）是一种基于网络通信的隐蔽技术，用于在未经授权的情况下隐藏网络服务的入口点。只有完成特定的**敲门序列**（特定端口的访问顺序或数据模式）后，目标系统的服务端口才会开放，允许后续的通信。

这种技术主要应用于增强网络安全，防止端口扫描和未授权访问。

---

### 🛠 **Port Knocking 的工作原理

1. 默认端口关闭
服务器的服务端口（如 SSH、RDP 等）在默认状态下是关闭的，不响应连接请求。

2. 敲门序列检测
客户端按照一定顺序（例如 TCP/UDP 包的目标端口号）尝试连接预定义的端口。这些连接不会真正打开端口，而是作为敲门信号被监听器记录。

3. 验证敲门序列
服务器的 Port Knocking 守护进程会验证客户端发出的敲门序列是否正确。如果匹配，目标服务端口（如 22 号 SSH 端口）会临时开放。

4. 建立连接
客户端在目标端口开放后，可以正常连接到服务，完成通信。

5. 端口关闭
在设定的时间后，端口会重新关闭，恢复隐蔽状态。

---

### 🧩 Port Knocking 的常见实现方式

1. 基于 TCP/UDP 端口扫描
客户端按顺序尝试连接几个特定的 TCP/UDP 端口。例如，敲击顺序为 `1234 -> 5678 -> 91011`，正确的顺序才能触发端口开放。

2. 基于特定数据包的 Payload
通过在敲门包中嵌入密码或加密信息，进一步增强安全性。

3. 隐蔽型敲门
使用非标准端口号或特定协议（如 ICMP Ping 包）作为敲门信号。

---

### 🛡 Port Knocking 的优缺点

#### 优点：
1. 增强安全性：
隐藏端口，避免被简单的端口扫描工具发现。

2. 轻量化：
不需要占用大量资源或额外的网络带宽。

3. 兼容性强：
可用于现有的防火墙和服务配置。

#### 缺点：
1. 容易被监控或重放攻击利用：
如果敲门序列是明文传输，可能被监听并复制。

2. 复杂性增加：
客户端和服务端的配置可能不直观，导致管理和使用不便。

3. 对错误序列的容错性低：
敲门顺序或网络延迟可能导致误触发。

---

### 🔧 Port Knocking 实现示例

以下是基于 iptables 和 knockd 的实现示例：

#### 服务端配置：
1. 安装 `knockd`：

   sudo apt install knockd
   

2. 编辑 /etc/knockd.conf 配置文件：

   [options]
   logfile = /var/log/knockd.log

   [openSSH]
   sequence = 7000,8000,9000
   seq_timeout = 5
   command = /usr/sbin/iptables -A INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
   tcpflags = syn

   [closeSSH]
   sequence = 9000,8000,7000
   seq_timeout = 5
   command = /usr/sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT
   tcpflags = syn
   

3. 启动 `knockd`：

   sudo systemctl start knockd
   

#### 客户端敲门：
使用 `knock` 命令：

knock 192.168.1.100 7000 8000 9000
ssh [email protected]

---

### 🌐 Port Knocking 的应用场景
1. 隐藏敏感服务端口：
防止 SSH、VPN 等端口被暴力破解工具攻击。

2. 应急接入机制：
在无需长期暴露端口的情况下，为管理员提供备用访问通道。

3. 网络蜜罐增强：
配合蜜罐系统，诱导攻击者触发错误敲门序列，记录其行为。

---

### 🚀 增强安全的建议
1. 使用加密的敲门序列：
结合加密协议（如 HMAC）确保序列不被嗅探和伪造。

2. 结合动态防火墙：
配置时限短的动态规则，减少端口开放时间。

3. 审计和监控：
定期检查 knockd 的日志，发现异常敲门行为。

---

### 🔑 关键词
#PortKnocking #端口敲门 #网络安全 #隐蔽技术 #防火墙