跳至主内容

网络攻击防护

Linux

网络攻击防护 模块作为FTP和SSH协议的代理,接收流量并防范中间人攻击及其他攻击类型(暴力破解攻击、网络漏洞利用、密码窃取、路过式下载感染载体、僵尸程序和木马)。

本节提供关于 网络攻击防护 模块在Linux终端上的作用。

流量捕获技术

两种流量捕获机制将流量路由至端口 8887 ,即 网络攻击防护 服务器监听的端口。这些技术分别是 iptableseBPF .

iptables

该技术通过 网络攻击防护 使用的 iptables 包实现流量路由。它会在终端操作系统中添加规则,将来自受支持端口 2122 的流量转发至端口 8887 ,但不包含产品自身生成的流量。

这些规则由一组脚本设置,这些脚本在 BEST 代理安装到终端时部署。安装过程中,脚本会被放置在 /opt/bitdefender-security-tools/etc/nad.d/ .

网络攻击防护 启动或停止时,这些脚本会按名称排序后依次执行。您不应手动运行这些脚本。

可通过停止产品服务、移除指定脚本的可执行权限并重新启动服务来停用这些脚本。权限在产品更新期间将保持不变,尽管脚本内容会被覆盖。

以下是一个停用 网络攻击防护 规则脚本的示例: 

sudo bd stop
sudo chmod -x /opt/bitdefender-security-tools/etc/nad.d/02-ftp.sh
sudo bd start

eBPF

该路由技术通过挂钩相关内核函数,将流量路由至端口 8887 ,即 网络攻击防护 服务器的监听端口。

eBPF 启用失败,路由机制将完全切换至 iptables

在支持的情况下, eBPF 网络攻击防护 默认采用的路由技术。

重要提示

您可通过运行 iptables 手动切换至 sudo/opt/bitdefender-security-tools/bin/bdconfigure--disableeti ,并通过 eBPF 路由恢复至 执行sudo/opt/bitdefender-security-tools/bin/bdconfigure--enableeti 该设置在产品更新后保持不变。

扫描协议

SSH

SSH的流量捕获规则由 /opt/bitdefender-security-tools/etc/nad.d/01-ssh.sh 脚本(适用于 iptables 流量捕获技术)或由 网络攻击防护 内部管理(适用于 eBPF 流量捕获技术)。

网络攻击防护 会接收并扫描 入站 出站 连接的流量,仅针对端口 22

若在 扫描SCP/SSH 功能已在 GravityZone , 网络攻击防护 将能够解密 出站 连接并检测更多潜在攻击。

警告

若启用PKI登录但未设置密码登录作为备用方案,则除非应用此处所述的配置,否则登录将失败: 在启用网络攻击防护时配置SSH密钥认证 .

请注意某些工具(例如 minikube )内部使用带PKI认证的SSH协议。

FTP与FTPS

FTP流量捕获规则由 /opt/bitdefender-security-tools/etc/nad.d/02-ftp.sh 脚本管理(适用于 iptables 流量捕获技术),或由 网络攻击防护 内部管理(适用于 eBPF 流量捕获技术)。

FTP仅支持被动模式和扩展被动模式。

网络攻击防护 会接收并扫描 入站 出站 连接流量(针对端口 21 )。入站FTP流量的动态数据端口也会被捕获。出站FTP数据仅在使用 eBPF 技术时才能被捕获。

扫描FTPS GravityZone , 网络攻击防护 还能解密 出站 连接并检测更多潜在攻击。

对于FTPS,当使用 iptables 路由技术时,所有 入站 流量(来自端口 1:65534 )会被路由至 网络攻击防护 。这避免了因控制连接和数据连接使用不同路由导致的FTP故障。使用 eBPF 路由时无等效解决方案,因此必须禁用FTP服务器的安全检查(例如 pasv_promiscuous 参数(位于 vsftpd ).

支持的分发版

网络攻击防护 支持的操作系统列于 终端防护——支持的操作系统——Linux 文章中,具体见以下两个小节:

  • 完全支持的现代Linux发行版

  • 完全支持的ARM架构现代Linux发行版

警告

  • 32位系统不被 网络攻击防护 .

  • 不使用 systemctl 的旧版Linux发行版不受 网络攻击防护 .

  • 网络攻击防护 与所有在WSL2下运行的操作系统不兼容。

依赖项

  • 网络攻击防护 依赖于 iptables Linux软件包。您需要在所有要部署 网络攻击防护 模块的终端上手动安装该软件包。

    该软件包适用于所有受支持的发行版,可通过以下命令下载:

    • 对于基于Debian的操作系统: 

      apt install -y iptables

    • 对于基于Red Hat的操作系统: 

      dnf install -y iptables

    • 对于SUSE操作系统: 

      zypper install iptables

  • 网络攻击防护 默认使用端口 8887

    如果该端口已被占用, 网络攻击防护 不会动态切换到其他端口。您需确保该端口未被占用。

    重要提示

    若8887端口被其他应用程序占用或被防火墙拦截, 网络攻击防护 将无法接收流量。

  • eBPF 需要Linux内核版本 5.9 或更高。

  • eBPF 依赖 cgroupv2 子系统实现流量路由功能。

  • eBPF 要求内核启用 BTF (BPF类型格式)支持。该技术通过轻量级格式提供内核类型信息,使 eBPF 程序具备安全性、可移植性和自省能力。

警告

  • 网络攻击防护 以内联方式直接运行在网络路由路径中。

    与下列可能改变数据包流向的组件同时运行时,可能导致异常行为甚至网络中断:

    • iptables或nftables

    • 防火墙

    • VPN

    • eBPF/XDP/TC程序

    • 策略路由配置

    • VRF设置

    • 代理服务

    • 容器/CNI网络(CNI插件及策略实施)

  • 入站流量经由 网络攻击防护 的流量会显示为来自本地IP地址,即使实际可能源自外部IP。这可能导致某些依赖源IP为特定值(如Zabbix)的应用程序功能异常。

  • 对于 iptables 流量捕获机制,所有未通过 网络攻击防护 路由的数据包将被标记为 0x3887 标签。这可能与依赖数据包标记的其他应用(如防火墙)产生冲突。

  • 网络攻击防护 启动或终止时,受监控协议的所有连接将被中断。

  • 网络攻击防护 无法与 容器防护 同时运行。若两者均在安装包中配置,仅 容器防护 会被安装。

  • 为避免冲突, 网络攻击防护 iptables 路由机制在 firewalldufw 运行时将不会启动。

  • 当使用 eBPF 流量捕获机制可能导致内核钩子干扰容器的出站流量,从而造成连接被阻断或失败。

    已针对常见环境实现例外规则,但并未覆盖所有情况,因为具体行为可能受容器运行时或CRI、CNI插件、网络模式、命名空间布局、控制组管理器、服务网格、负载均衡器或入口控制器等因素影响。

实用链接

了解如何在GravityZone控制中心配置网络攻击防护。

了解如何在Windows服务器上部署网络攻击防护。

本节内容 :