跳至主内容

网络攻击防御

Linux

网络攻击防御 模块作为FTP和SSH协议的代理,接收流量并防范中间人攻击及其他攻击类型(暴力破解攻击、网络漏洞利用、密码窃取、路过式下载感染载体、僵尸程序和木马)。

本节详细说明 网络攻击防御 模块在Linux终端上的支持内容。

流量捕获技术

两种流量捕获机制将流量路由至端口 8887 (即 网络攻击防御 服务器的监听端口),相关技术为 iptableseBPF .

iptables

该技术用于为 网络攻击防御 路由流量,它使用 iptables 包。它会在终端操作系统中添加规则,将来自受支持端口 2122 的流量转发到端口 8887 ,但不包括产品自身生成的流量。

这些规则由一系列脚本设置,这些脚本在 BEST 代理安装到终端时交付。安装过程中,脚本会被放置在 /opt/bitdefender-security-tools/etc/nad.d/ .

网络攻击防御 启动或停止时,这些脚本会按名称排序后执行。您不应手动运行这些脚本。

可以通过停止产品服务、移除目标脚本的可执行权限并随后重启服务来停用这些脚本。即使脚本内容在更新时被覆盖,权限设置仍会保留。

以下是一个停用 网络攻击防御 规则脚本的示例: 

sudo bd stop
sudo chmod -x /opt/bitdefender-security-tools/etc/nad.d/02-ftp.sh
sudo bd start

eBPF

该路由技术通过挂钩到相关内核函数,将流量路由到端口 8887 ,即 网络攻击防御 服务器监听的端口。

如果 eBPF 启用失败,路由机制将完全切换至 iptables

若支持, eBPF 将作为 网络攻击防御 默认使用的路由技术。

重要提示

您可通过运行 iptables 手动切换至 sudo/opt/bitdefender-security-tools/bin/bdconfigure--disableeti ,并通过 eBPF 路由恢复至 sudo/opt/bitdefender-security-tools/bin/bdconfigure--enableeti 。该设置在产品更新后保持不变。

扫描协议

SSH

SSH流量捕获规则由 /opt/bitdefender-security-tools/etc/nad.d/01-ssh.sh 脚本管理(适用于 iptables 流量捕获技术),或由 网络攻击防御 针对 eBPF 流量捕获技术。

网络攻击防御 接收并扫描 入站 出站 连接的流量,仅限端口 22

SCP/SSH扫描 功能在 GravityZone , 网络攻击防御 将能解密 出站 连接并检测更多潜在攻击。

警告

若启用PKI登录但未设置密码登录作为备用方案,除非应用本文所述配置,否则登录将失败: 启用网络攻击防御时配置SSH密钥认证 .

请注意部分工具(如 minikube )内部采用带PKI认证的SSH协议。

FTP与FTPS

FTP流量捕获规则由 /opt/bitdefender-security-tools/etc/nad.d/02-ftp.sh 脚本用于 iptables 流量捕获技术,或由 网络攻击防御 内部处理 eBPF 流量捕获技术。

FTP仅支持被动模式和扩展被动模式。

网络攻击防御 会接收并扫描 入站 出站 连接的流量,针对端口 21 。入站FTP流量的动态数据端口也会被捕获。出站FTP数据仅当使用 eBPF 技术时才能被捕获。

扫描FTPS 功能在 GravityZone , 网络攻击防御 还能解密 出站 连接并检测更多潜在攻击。

对于FTPS,当使用 iptables 路由技术时,所有 入站 来自端口 1:65534 的流量被路由至 网络攻击防御 。这避免了因控制连接和数据连接使用不同路由而导致的FTP故障。当使用 eBPF 路由时,没有等效的解决方案,因此必须禁用FTP服务器的安全检查(例如, pasv_promiscuousvsftpd ).

支持的分发版

网络攻击防御 支持以下两个子章节中 终端防护——支持的操作系统——Linux 文章列出的操作系统:

  • 完全支持的现代Linux发行版

  • 完全支持的ARM架构现代Linux发行版

警告

  • 32位系统不受 网络攻击防御 .

  • 不使用 systemctl 的旧版Linux发行版不受 网络攻击防御 .

  • 网络攻击防御 与所有在WSL2下运行的操作系统不兼容。

依赖项

  • 网络攻击防御 依赖于 iptables Linux软件包。您需要在所有部署 网络攻击防御 模块的终端上手动安装该软件包。

    该软件包适用于所有受支持的发行版,可通过以下命令下载:

    • 基于Debian的操作系统: 

      apt install -y iptables

    • 基于Red Hat的操作系统: 

      dnf install -y iptables

    • SUSE操作系统: 

      zypper install iptables

  • 网络攻击防御 默认使用端口 8887

    若该端口已被占用, 网络攻击防御 不会动态切换至其他端口。您需确保该端口未被占用。

    重要提示

    若8887端口被其他应用程序占用或被防火墙拦截, 网络攻击防御 将无法接收流量。

  • eBPF 需要Linux内核版本 5.9 或更高。

  • eBPF 依赖于 cgroupv2 子系统提供的流量路由能力。

  • eBPF 需要 BTF (BPF类型格式)在内核中启用支持。它通过轻量级格式提供内核类型信息,从而实现安全、可移植且可内省的 eBPF 程序。

警告

  • 网络攻击防御 以内联方式直接运行在网络路由路径中。

    与可能改变数据包流的其他组件同时运行时,可能会引发意外行为甚至网络中断的风险。这些组件包括:

    • iptables或nftables

    • 防火墙

    • VPN

    • eBPF、XDP或TC程序

    • 策略路由配置

    • VRF设置

    • 代理

    • 容器/CNI网络(CNI插件及策略实施)

  • 网络攻击防御 路由的入站流量,即使来自外部IP,也会显示为源自本地IP地址。这可能导致某些依赖源IP具有特定值(如Zabbix)的应用程序功能异常。

  • 对于 iptables 流量捕获机制,所有未通过 网络攻击防御 路由的数据包将被标记为 0x3887 标记。这可能会与依赖数据包标记的其他应用程序(如防火墙)产生冲突。

  • 网络攻击防御 启动或终止时,受监控协议上的所有连接将被终止。

  • 网络攻击防御 无法与 容器保护 同时运行。如果两者在安装包中均已配置,则仅会安装 容器保护

  • 为避免冲突, 网络攻击防御 iptables 路由机制在 firewalldufw 运行时将不会启动。

  • 当使用 eBPF 流量捕获机制时,内核钩子可能会干扰容器的出站流量,导致连接被阻断或失败。

    已针对常见环境实施排除规则,但这些规则并不全面,因为具体行为可能因容器运行时、CRI、CNI插件、网络模式、命名空间布局、控制组管理器、服务网格、负载均衡器或入口控制器等因素而异。

实用链接

了解如何在GravityZone控制中心配置网络攻击防御。

了解如何在Windows服务器上部署网络攻击防御。

本节内容 :