如何使用Portspoof（网络欺骗技术）

大家好，欢迎来到本期视频。今天我们将介绍Portspoof——这款神奇的工具能把未使用的TCP/IP端口改头换面，当攻击者扫描时就会看到完全不同的内容。本视频是我们Wild West Hackin’ Fest和Black Hat会议上"主动防御与网络欺骗"课程的组成部分。

准备工作

我们将使用Active Defense Harbinger Distribution（ADHD）环境。您可以在activecountermeasures.com的免费工具区下载这个虚拟机，桌面上的ADHD使用文档包含了所有操作指南。

配置iptables规则

Portspoof的工作原理是监听特定端口（本例使用4444端口），我们通过iptables防火墙将所有入站流量重定向到这个端口：

1

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 1:65535 -j REDIRECT --to-ports 4444

初始运行时，Portspoof会让所有被扫描的端口显示为开放状态（返回SYN/ACK响应）。通过添加--reason参数，可以看到Nmap原本认为这些端口关闭的原因（如连接被拒绝）。

使用签名文件增强欺骗效果

Portspoof的真正威力在于可以使用签名文件模拟各种服务：

1

portspoof -c /usr/local/etc/portspoof_signatures

签名文件包含了各类服务的响应特征（如SSH的版本信息、Web服务器标识等）。当攻击者进行版本扫描（-sV）时：

1. 扫描时间显著延长（10个端口耗时32秒）
2. 返回完全混乱的服务识别结果：
   • 端口1显示为Tanberg NPS 800 Telnet服务器
   • 端口4显示为Webtrends WTAM服务
   • 其他端口随机返回各种企业级服务标识

防御原理

这种技术通过两种方式增强防御：

1. 增加攻击时间成本：扫描全部65535端口将耗费极长时间
2. 制造干扰信息：攻击者需要多次扫描并人工验证才能识别真实服务

实际应用

该工具已集成在Active Defense Harbinger Distribution中，也是我们"网络欺骗"培训课程的核心内容。如需深入学习，我们提供为期两天的专题培训课程。

小贴士：在渗透测试中，复制粘贴（copy/paste）是安全专业人员最强大的工具！

通过这种主动防御技术，我们有效实现了：检测时间+响应时间 < 攻击者成功入侵所需时间的安全目标。