0、内网穿透
内网穿透(NAT穿透)是一种技术,它允许通过公网访问内网的设备和服务。在许多情况下,设备和服务可能位于一个局域网中,这些设备和服务只能在局域网中访问。如果想从外部网络访问这些设备和服务,需要一种方法来穿透网络的边界,让公网可以访问您的内网设备和服务。
内网穿透技术可以实现这一点。通过在公网上搭建一个服务器,然后将内网设备和服务通过一个安全的隧道连接到这个服务器上,从而实现公网访问。当从公网访问内网设备和服务时,数据会经过隧道传输,然后到达内网设备和服务。这样便可以在外部网络中访问内网设备和服务,就像直接连接在公网上一样。
一、NPS概述
NPS是一款轻量级、高性能、功能强大的内网穿透代理服务器,支持tcp、udp、http等几乎所有流量转发,支持WEB界面管理主机连接。
二、NPS的原理
运行NPS服务的云服务器和运行NPS客户端的主机之间会创建一条TCP或UDP隧道,可以映射云服务器上的某个端口到客户端主机的指定端口,其他主机访问云服务器的这个端口的流量都会通过创建的这条隧道转发到映射的主机端口,实现内网穿透效果。
三、NPS服务器搭建
1、下载软件
本教程使用的是github上面的一款开源工具,下面附上笔者的网盘分享下载,网盘里面有linux和windows的64位服务端和服务端。
链接:https://pan.baidu.com/s/1kiP8gEbaAZSQvkgk27wLIg提取码:suga
*左右滑动查看更多
2、云服务器配置
首先需要一台云服务器,可以选择较知名的云服务器厂商,我选的是腾讯云的轻量应用服务器ubuntu系统。
2.1 防火墙配置
需要放行以下端口:
TCP22:用于远程SSH连接TCP8080:用户NPS管理界面的默认登录端口
2.2 使用SSH终端安装启动
使用MobaXterm终端ssh连接云服务器,进行配置。
安装过程如下:
cd nps //进入创建的nps文件夹tar -zxvf linux_amd64_server.tar.gz //解压压缩包,使用"ls"命令就能看到目录下面多了conf和web的文件夹,还有一个可执行文件nps
*左右滑动查看更多
启动:
./nps install //输入安装命令nps start //启动nps服务
启动完成后:
输入http://ip:端口号(默认8080)。默认账号admin,密码123,成功进入。
|
|
四、NPS内网穿透演示
1、演示案例1
Windows客户端。
目标:通过外网连接windows的3389端口。
点击客户端:
|
|
点击新增,配置如上图所示:
|
|
点击左上角的加号,会出现下面的一条客户端命令,这个命令是在windows系统下面执行的,执行的时候不需要前面的"./"。
|
|
客户端命令:
./npc -server=ip:8024 -vkey=e903rjjd1w8vnw2m -type=tcp在保存了nps客户端的文件里,打开Powershell。输入命令cmd,然后再输入从网页上获取到的命令,出现Successful就可以了。
*左右滑动查看更多
可以看到网页上的状态显示在线。
创建TCP隧道
客户端ID写之前创建客户端得到的ID,服务端端口写一个没有用过的端口就行,当然防火墙里面也要放行这个端口。目标端口写需要访问的端口,即3389。
|
|
现在建立完成,可以通过ip:48888来远程桌面连接windows客户端:
|
|
连接成功。
|
|
2、演示案例2
Linux客户端。
目标:通过外网连接目标主机内网的ssh22端口。
将linux客户端nps传入目标主机:
|
|
添加新客户端,步骤如案例1,记住id为6,待会建立TCP隧道的时候得用到。
|
|
将命令复制到linux客户端运行:
|
|
到successful即为成功。
建立TCP隧道:服务器端口得设置没有使用,而且已经开放的。设置过程见案例1。
|
|
目的端口即我们要拿到的22ssh端口。
现在已经建立完成,我们可以通过ip:50000来连接Linux客户端的22ssh端口:
|
|
连接成功。
五、NPS内网穿透检测建议
1.流量监控:
使用网络流量监控工具来捕获和分析网络流量。这些工具可以监视网络接口,记录传入和传出的数据包,并提供流量统计信息。通过监控网络流量,可以检测到与NPS内网穿透工具相关的流量模式和特征。
2.流量协议分析:
对捕获的网络流量进行协议分析和流量分析,NPS通常使用特定的协议进行通信,例如HTTP、HTTPS或自定义协议。通过分析网络流量中的协议头和数据包内容,可以识别出潜在的NPS流量。分析网络流量的模式和行为,以识别与NPS内网穿透工具相关的流量模式。NPS流量通常具有特定的连接建立、数据传输和断开连接的模式。通过观察流量的时间间隔、数据包大小、连接持续时间等特征,可以推断是否存在NPS流量。
3.网络行为异常检测:
使用入侵检测系统(IDS)等设备,监控网络中的行为异常。NPS内网穿透工具可能会引起网络中的异常活动,例如大量的外部连接、非常规的数据传输等。通过检测这些异常行为,可以发现潜在的NPS流量。
六、NPS内网穿透防范建议
1.阻止或隔离流量:
立即采取行动,阻止或隔离与NPS流量相关的网络连接。可以使用防火墙、入侵防御系统(IPS)或网络访问控制列表(ACL)等工具,针对检测到的NPS流量源头或目标进行阻止或隔离。
2.更新和强化防火墙规则:
检查和更新防火墙规则,确保阻止或限制与NPS流量相关的通信。根据检测到的NPS流量特征,可以添加规则来阻止特定的端口、协议或IP地址。
3.更新和修补系统漏洞:
确保及时更新和修补系统、应用程序和设备中的漏洞。攻击者可能利用已知漏洞来利用NPS流量穿透内网。通过及时修复漏洞,可以减少攻击者的入侵机会。
4.安全培训和意识:
加强员工的安全培训和意识,教育他们如何识别可能存在的NPS内网穿透流量及相关威胁。提高员工对网络安全的敏感性,可以增强整个组织对NPS内网穿透的防御能力。
往期回顾
原文始发于微信公众号(安恒信息安全服务):九维团队-红队(突破)| NPS内网穿透效果透测试和防范建议
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论