Quanto è saggio utilizzare uno strumento per portspoofing sul proprio server per confondere gli attaccanti?

Problemi multipli qui.

1. Risposte alla porta dinamica: se eseguo la scansione di due IP diversi e confronti le due risposte, ottengo un elenco di porte valido? Se è così, è una difesa molto debole.

2. Stai bruciando CPU per rispondere alla fase di ricognizione di un attacco. Questo può essere usato contro di te. A seconda di come è impostato, posso uccidere il tuo server forzando lo spoofer a consumare tutta la CPU sulla macchina.

3. Sei sicuro che portspoof non abbia altre vulnerabilità bonus che la tua app NON ha?

4. Posso rallentare probabilmente le porte non reali e vedere quali altre risposte smettono di filtrare lo spam?

5. Se stai eseguendo questa operazione, e ottengo un punto d'appoggio e apro una porta di comando remota, noterai o ti perderai nel tuo stesso spam?

Presumo che l'efficacia sarà molto limitata.

Prima di tutto, sfruttare gli strumenti di scansione delle porte sarà raramente utile perché la maggior parte dei pentesters utilizzerà macchine virtuali e altri ambienti confinati durante lo svolgimento di eventuali attacchi.

In secondo luogo, non è molto chiaro quanto sia utile offuscare quali porte siano realmente aperte. Se si dispone ancora di servizi in esecuzione, è necessario che rispondano correttamente. Ci sono solo 65536 porte, quindi provarle tutte non è un grosso problema. In ogni caso, di solito devi annunciare su quali servizi portali vengono eseguiti perché vuoi che le persone li trovino! Perché altro li stai eseguendo?

E in terzo luogo, rispondere a tutte le query su tutte le porte potrebbe effettivamente generare un bel po 'di lavoro inutile. Potresti voler spendere quei clock clock altrove.

Quindi, questi sono i primi motivi che mi vengono in mente. Non ho usato questo strumento ma forse altre persone la pensano allo stesso modo ed è per questo che non ha visto un'adozione diffusa.