压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

關(guān)于SYNwall

SYNwall是一款功能強(qiáng)大的零配置物聯(lián)網(wǎng)防火墻，該項(xiàng)目是一個(gè)以Linux內(nèi)核模塊構(gòu)建的項(xiàng)目，可以幫助廣大研究人員實(shí)現(xiàn)一個(gè)透明的零配置/零維護(hù)的物聯(lián)網(wǎng)防火墻。

通常情況下，物聯(lián)網(wǎng)設(shè)備是不具備中央控制特性的，而且硬件配置不搞，環(huán)境條件也惡劣。廣大研究人員并沒(méi)有多少時(shí)間去專門維護(hù)物聯(lián)網(wǎng)設(shè)備的安全，因此，我們可能無(wú)法及時(shí)修復(fù)物聯(lián)網(wǎng)基礎(chǔ)設(shè)施中的安全問(wèn)題，并且很難去維持“類似防火墻”的訪問(wèn)控制。

SYNwall是思想是創(chuàng)建一個(gè)非集中式的單向一次性密碼，以使網(wǎng)絡(luò)能夠訪問(wèn)設(shè)備，所有不包含OTP的流量都將被丟棄。我們不需要事先知道誰(shuí)需要訪問(wèn)，我們只需要一個(gè)預(yù)共享密鑰來(lái)部署。安全保護(hù)機(jī)制將對(duì)應(yīng)用層完全透明，因?yàn)樗窃诰W(wǎng)絡(luò)協(xié)議級(jí)別（TCP和UDP）實(shí)現(xiàn)的。

工具安裝

這個(gè)項(xiàng)目庫(kù)中包含了Linux內(nèi)核模塊，并且已經(jīng)在X86_64、ARM、MIPS以及AARCH64架構(gòu)上測(cè)試了3.x、4.x和5.x版本。

該工具要求使用當(dāng)前內(nèi)核Header進(jìn)行編譯，這里可以使用對(duì)應(yīng)的包管理器來(lái)進(jìn)行安裝。比如說(shuō)，在Debian發(fā)行版系統(tǒng)上可以運(yùn)行下列命令：

sudo apt-get install linux-headers-$(uname -r)

接下來(lái)，我們就可以運(yùn)行編譯命令了：

make

SYNwall配置

功能模塊可以使用insmod或modprobe進(jìn)行加載。

工具還提供了一些參數(shù)來(lái)幫助我們實(shí)現(xiàn)自定義行為：

1、用于一次性密碼的預(yù)共享密鑰-PSK

這個(gè)PSK必須是一個(gè)長(zhǎng)度為32到1024的字節(jié)序列。它將是OTP的一部分，因此它的長(zhǎng)度將影響OTP注入包的大小。如果沒(méi)有此參數(shù)，模塊將無(wú)法加載。

2、啟用UDP-enable_udp: 0

針對(duì)UDP協(xié)議啟用或禁用OTP。默認(rèn)配置下是禁用的，設(shè)置為1即可啟用。UDP上的OTP要求模塊在兩個(gè)通信設(shè)備上都處于活動(dòng)狀態(tài)，因?yàn)樵趯?shù)據(jù)包轉(zhuǎn)發(fā)到應(yīng)用層之前，必須（由模塊）刪除OTP。UDP連接跟蹤依賴于conntrack模塊，因此必須插入它才能使用此功能（這取決于安裝）。

3、精度參數(shù)-precision: 10

OTP使用了當(dāng)前設(shè)備時(shí)間進(jìn)行計(jì)算，由于不同設(shè)備上的日期時(shí)間可能不同，因此我們可以設(shè)置一個(gè)允許的時(shí)間偏移量，默認(rèn)值為10。這里的精度需要使用2的冪來(lái)表示：

...

?????9 ??-> ??1 second

?????10 ?-> ??8 seconds

?????...

工具使用樣例

下列命令將刪除所有流向目標(biāo)設(shè)備的通信流量：

sudo insmod SYNwall.ko psk=123456789012345678901234567890123 precision=10 portk=12,13,14,15,16 load_delay=5000 enable_udp=1

在命令行終端中測(cè)試兩個(gè)網(wǎng)絡(luò)連接：

sudo insmod SYNgate.ko dstnet_list=10.1.1.0/24,198.168.10.0/24 psk_list=d41d8cd98f00b204e9800998ecf8427e,efebceec0de382839cd38bffcdc6bf0c enable_udp_list=0,0 precision_list=10,9 enable_antispoof_list=0,1

或者使用一個(gè)配置文件：

sudo cat /etc/modprobe.d/SYNgate.conf

# SYNgate config file

# Keep it safe!!

options SYNgate dstnet_list=10.1.1.0/24,198.168.10.0/24

options SYNgate psk_list=d41d8cd98f00b204e9800998ecf8427e,efebceec0de382839cd38bffcdc6bf0c

options SYNgate enable_udp_list=0,0

options SYNgate precision_list=10,9

options SYNgate enable_antispoof_list=0,1

性能分析

SYNwall支持在低端設(shè)備上使用，并且消耗的資源非常少，這也是我們?yōu)槭裁催x擇使用Quark哈希作為加密機(jī)制的原因。OTP計(jì)算增加的開(kāi)銷在常規(guī)使用中可以忽略不計(jì)：

當(dāng)大量流量發(fā)送到設(shè)備時(shí)，您可以看到CPU的資源消耗情況：

項(xiàng)目地址

SYNwall：https://github.com/SYNwall/SYNwall

許可證協(xié)議

本項(xiàng)目的開(kāi)發(fā)與發(fā)布遵循GPL-3.0開(kāi)源許可證協(xié)議。

來(lái)源：FreeBuf.COM