跳至主内容

网络攻击防御

Linux

网络攻击防御 模块作为FTP和SSH协议的代理,接收流量并防范中间人攻击及其他攻击类型(暴力破解攻击、网络漏洞利用、密码窃取、路过式下载感染载体、僵尸程序和木马)。

本节详细说明 网络攻击防御 模块在Linux终端上的支持功能。

流量捕获技术

两种流量捕获机制将流量路由至 8887 端口,该端口是 网络攻击防御 服务器监听的端口。这些技术包括 iptableseBPF .

iptables

该技术通过 网络攻击防御 使用的 iptables 包来实现流量路由。它会在终端操作系统中添加规则,将来自支持端口 2122 的流量(产品自身生成的流量除外)转发到端口 8887

这些规则由一系列脚本设置,这些脚本在 BEST 代理安装到终端时部署。安装期间,脚本会被放置在 /opt/bitdefender-security-tools/etc/nad.d/ .

网络攻击防御 服务启动或停止时,这些脚本会按名称排序后依次执行。请勿手动运行这些脚本。

可通过停止产品服务、移除目标脚本的可执行权限并重启服务来停用脚本。即使脚本内容在产品更新时被覆盖,权限设置仍会保留。

以下是一个停用 网络攻击防御 规则脚本的示例: 

sudo bd stop
sudo chmod -x /opt/bitdefender-security-tools/etc/nad.d/02-ftp.sh
sudo bd start

eBPF

该路由技术通过挂钩相关内核函数,将流量路由至端口 8887 ,即 网络攻击防御 服务器的监听端口。

eBPF 启用失败,路由机制将完全切换至 iptables

在支持的情况下, eBPF 网络攻击防御 默认采用的路由技术。

重要提示

可通过运行 iptables 手动切换至 sudo/opt/bitdefender-security-tools/bin/bdconfigure--disableeti ,并执行 eBPF 路由恢复命令 sudo/opt/bitdefender-security-tools/bin/bdconfigure--enableeti 。该设置在产品更新后保持不变。

扫描协议

SSH

SSH流量捕获规则由 /opt/bitdefender-security-tools/etc/nad.d/01-ssh.sh 脚本用于 iptables 流量捕获技术,或由 网络攻击防御 内部管理 eBPF 流量捕获技术。

网络攻击防御 接收并扫描 入站 出站 连接的流量,仅限端口 22

扫描SCP/SSH 功能在 GravityZone , 网络攻击防御 将能解密 出站 连接并检测更多潜在攻击。

警告

若启用PKI登录但未设置密码登录作为备用方案,除非应用本文所述配置,否则登录将失败: 启用网络攻击防御时配置SSH密钥认证 .

请注意某些工具(如 minikube 内部使用基于PKI认证的SSH。

FTP与FTPS

FTP流量捕获规则由 /opt/bitdefender-security-tools/etc/nad.d/02-ftp.sh 脚本(适用于 iptables 流量捕获技术)或由 网络攻击防御 (适用于 eBPF 流量捕获技术)内部管理。

FTP仅支持被动模式和扩展被动模式。

网络攻击防御 会接收并扫描 入站 出站 连接(端口 21 )的流量。入站FTP流量的动态数据端口也会被捕获。仅当使用 eBPF 技术时才能捕获出站FTP数据。

若在 扫描FTPS 功能在 GravityZone , 网络攻击防御 还能解密 出站 连接并检测更多潜在攻击。

对于FTPS,当使用 iptables 路由技术时,所有 入站 来自端口 1:65534 的流量均被路由至 网络攻击防御系统 。这避免了因控制连接与数据连接使用不同路由导致的FTP故障。使用 eBPF 路由时,暂无等效解决方案,因此必须禁用FTP服务器的安全检查(例如 pasv_promiscuous 参数在 vsftpd ).

支持的分发版本

网络攻击防御系统 支持的操作系统列于 终端防护——支持的操作系统——Linux 文章中,具体分为以下两个子章节:

  • 完全支持的现代Linux发行版

  • 完全支持ARM架构的现代Linux发行版

警告

  • 32位系统不受 网络攻击防御系统 .

  • 不使用 systemctl 不受 网络攻击防御 .

  • 网络攻击防御 与所有在WSL2下运行的操作系统不兼容。

依赖项

  • 网络攻击防御 依赖于 iptables Linux软件包。您需要在所有部署 网络攻击防御 模块的终端上手动安装该软件包。

    该软件包适用于所有受支持的发行版,可通过以下命令下载:

    • 对于基于Debian的操作系统: 

      apt install -y iptables

    • 对于基于Red Hat的操作系统: 

      dnf install -y iptables

    • 对于SUSE操作系统: 

      zypper install iptables

  • 网络攻击防御 默认使用端口 8887

    如果该端口已被占用, 网络攻击防御 不会动态切换到其他端口。您需要确保该端口未被占用。

    重要提示

    如果端口8887被其他应用程序占用或被防火墙阻止, 网络攻击防御 将无法接收流量。

  • eBPF 需要Linux内核版本 5.9 或更高。

  • eBPF 依赖 cgroupv2 子系统实现流量路由功能。

  • eBPF 要求内核启用 BTF (BPF类型格式)支持。该技术通过轻量级格式提供内核类型信息,使 eBPF 程序具备安全性、可移植性和自省能力。

警告

  • 网络攻击防御系统 以内联方式直接运行在网络路由路径中。

    与其他可能修改数据包流的组件同时运行时,可能导致意外行为甚至网络中断风险。这些组件包括:

    • iptables或nftables

    • 防火墙

    • VPN

    • eBPF、XDP或TC程序

    • 策略路由配置

    • VRF设置

    • 代理

    • 容器/CNI网络(CNI插件及策略执行)

  • 网络攻击防御系统 路由的入站流量将显示为来自本地IP地址,即便实际源IP可能为外部地址。这可能导致某些依赖特定源IP值的应用(如Zabbix)出现故障。

  • 对于 iptables 流量捕获机制下,所有未通过 网络攻击防御 路由的数据包都将被标记为 0x3887 。这可能与依赖数据包标记的其他应用程序(如防火墙)产生冲突。

  • 网络攻击防御 启动或终止时,受监控协议的所有连接都将中断。

  • 网络攻击防御 无法与 容器防护 同时运行。若安装包中同时配置两者,仅会安装 容器防护

  • 为避免冲突,若 网络攻击防御 检测到 iptables 路由机制运行时存在 firewalldufw ,则不会启动。

  • 使用 eBPF 流量捕获机制时,内核钩子可能干扰容器的出站流量,导致连接被阻断或失败。

    系统已对常见环境设置例外,但该清单并非穷尽——因容器运行时/CRI、CNI插件、网络模式、命名空间布局、控制组管理器、服务网格、负载均衡器或入口控制器的差异,实际行为可能不同。

实用链接

了解如何在GravityZone控制中心配置网络攻击防御。

了解如何在Windows服务器上部署网络攻击防御。

本节内容 :