我有以下情况:
$$ = Background application Hex# = Normal users @@ = Attackers 目前,如果有人通过端口80连接到$$ (例如:不是Web服务器),并发送"VERSION" , $$将返回"Program XX v10.0.0" (示例)。
有了这个,攻击者可以检测到一个特定的IP是否正在运行一个特定的软件。 我可以select将端口更改为使用非公共端口,以便攻击者不能在IP范围扫描中盲目地连接到port 443以识别正在运行$$的IP。
我也可以阻止ping发出IP不存在的信号,但是这并不能阻止攻击者试图连接到每个单独的端口来识别$$运行的存在。
我的问题是,如何阻止任何试图将"VERSION" (例子)发送到$$ ?
有几个应用层防火墙能够根据有效载荷/内容而不是IP和端口号来检测stream量。 我熟悉的两个是SonicWall和PaloAltonetworking。 你没有说任何有关“免费”的东西,所以…有两种解决scheme,超过了你的要求。