¿äÁò ssh dictionary attack ÀÌ ½ÉÇÕ´Ï´Ù. (Á¤È®È÷ ¸»ÇÏÀÚ¸é.. ssh brute force attack À̶ó°í ÇÏ´õ±º¿ä ^^)
¿Ü±¹¿¡¼ÀÇ °ø°Ý, ƯÈ÷ Áß±¹¿¡¼ÀÇ °ø°ÝÀ» ¸·¾Æ¼ÀÎÁö ÇöÀúÇÏ°Ô ½Ãµµ´Â ÁÙ¾úÁö¸¸.. ±×·¡µµ 3ÀÏ¿¡ Çѹø²Ã·Î ±¹³½ IP (ƯÈ÷ ´ëÇÐÀ̳ª ÃʵîÇб³ ¼¹ö¿¡¼..) ¿¡¼ 5000¹ø ÀÌ»óÀÇ scan À» ÇÏ°í Áö³ª°¡´Â ²ÃÀ» º¸´Ï ¶Ç ¿À±â°¡ »ý±â±â ½ÃÀÛÇß½À´Ï´Ù.
¼³¸¶ ¸·´Â ¹æ¹ý¿¡ ¾ø°Ú´À³Ä´Â »ý°¢¿¡ iptables ÀÇ extension À» Ž»öÇÏ´ø Áß ipt_recent extension À» ¹ß°ß Çß½À´Ï´Ù. recent extension Àº iptables ÀÇ ±âº» extension À̹ǷΠµû·Î ºôµåÇÒ ÇÊ¿äµµ ¾ø°í, seconds º° hitcount ¸¦ °è»êÇÒ ¼ö ÀÖ´Â µí ÇÕ´Ï´Ù.
¾Æ·¡ÀÇ ¿¹Á¦¸¦ º¸ÁÒ. (oops.org ¿¡ ±âº»À¸·Î Àû¿ëÇÑ rule ÀÔ´Ï´Ù.)
# ssh buste attack rule
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHSCAN
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \ --seconds 60 --hitcount 8 --rttl --name SSHSCAN -j LOG --log-prefix SSH_Scan:
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \ --seconds 60 --hitcount 8 --rttl --name SSHSCAN -j DROP
1. óÀ½¿¡ 22 ¹øÀ¸·Î NEW state ÀÇ session À» SSHSCAN À̶ó´Â À̸§À¸·Î list ¸¦ ¸¸µì´Ï´Ù.
2. 60 ÃÊ µ¿¾È 8 ¹øÀÇ È÷Æ®¸¦ ±â·ÏÇϸé, 60ÃÊ µ¿¾È DROP ÇÕ´Ï´Ù.
3. ±×¸®°í SSH_Scan À̶ó´Â prefix ·Î logging À» ÇÕ´Ï´Ù.
¹®¼µéÀÌ ¿µ¾î¶ó¼.. °á±¹¿¡´Â ½À°ü´ë·Î ´ëÃæ ÀÐ°í ¹Ý¿µÇؼ º¸ÀÚ´Â ½ÄÀ¸·Î ÇÏ°Ô µÇ¾î¼ Á¤È®ÇÑ Á¤º¸´Â µÇÁö ¾ÊÀ» °Í °°½À´Ï´Ù. Á¤È®ÇÑ Á¤º¸¸¦ ¾ò°í ½ÍÀº ºÐµéÀº.. ´ÙÀ½ÀÇ ¸µÅ©¸¦ ÂüÁ¶ ÇϽʽÿÀ.
http://snowman.net/projects/ipt_recent/
http://users-x.757.org/~joat/wiki/index.php/Slowing_down_SSH_brute_force_attacks
http://la-samhna.de/library/brutessh.html