¿ù°£ Àα⠰Խù°

°Ô½Ã¹° 111°Ç
   
ssh dictionary attack ¸·±â
±Û¾´ÀÌ : ÃÖ°í°ü¸®ÀÚ ³¯Â¥ : 2009-11-30 (¿ù) 21:09 Á¶È¸ : 5976
±ÛÁÖ¼Ò :
                             

¿äÁò ssh dictionary attack ÀÌ ½ÉÇÕ´Ï´Ù. (Á¤È®È÷ ¸»ÇÏÀÚ¸é.. ssh brute force attack À̶ó°í ÇÏ´õ±º¿ä ^^)

¿Ü±¹¿¡¼­ÀÇ °ø°Ý, ƯÈ÷ Áß±¹¿¡¼­ÀÇ °ø°ÝÀ» ¸·¾Æ¼­ÀÎÁö ÇöÀúÇÏ°Ô ½Ãµµ´Â ÁÙ¾úÁö¸¸.. ±×·¡µµ 3ÀÏ¿¡ Çѹø²Ã·Î ±¹³½ IP (ƯÈ÷ ´ëÇÐÀ̳ª ÃʵîÇб³ ¼­¹ö¿¡¼­..) ¿¡¼­ 5000¹ø ÀÌ»óÀÇ scan À» ÇÏ°í Áö³ª°¡´Â ²ÃÀ» º¸´Ï ¶Ç ¿À±â°¡ »ý±â±â ½ÃÀÛÇß½À´Ï´Ù.

¼³¸¶ ¸·´Â ¹æ¹ý¿¡ ¾ø°Ú´À³Ä´Â »ý°¢¿¡ iptables ÀÇ extension À» Ž»öÇÏ´ø Áß ipt_recent extension À» ¹ß°ß Çß½À´Ï´Ù. recent extension Àº iptables ÀÇ ±âº» extension À̹ǷΠµû·Î ºôµåÇÒ ÇÊ¿äµµ ¾ø°í, seconds º° hitcount ¸¦ °è»êÇÒ ¼ö ÀÖ´Â µí ÇÕ´Ï´Ù.

¾Æ·¡ÀÇ ¿¹Á¦¸¦ º¸ÁÒ. (oops.org ¿¡ ±âº»À¸·Î Àû¿ëÇÑ rule ÀÔ´Ï´Ù.)

# ssh buste attack rule
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHSCAN
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \ --seconds 60 --hitcount 8 --rttl --name SSHSCAN -j LOG --log-prefix SSH_Scan:
%-A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update \ --seconds 60 --hitcount 8 --rttl --name SSHSCAN -j DROP


1. óÀ½¿¡ 22 ¹øÀ¸·Î NEW state ÀÇ session À» SSHSCAN À̶ó´Â À̸§À¸·Î list ¸¦ ¸¸µì´Ï´Ù.
2. 60 ÃÊ µ¿¾È 8 ¹øÀÇ È÷Æ®¸¦ ±â·ÏÇϸé, 60ÃÊ µ¿¾È DROP ÇÕ´Ï´Ù.
3. ±×¸®°í SSH_Scan À̶ó´Â prefix ·Î logging À» ÇÕ´Ï´Ù.

¹®¼­µéÀÌ ¿µ¾î¶ó¼­.. °á±¹¿¡´Â ½À°ü´ë·Î ´ëÃæ ÀÐ°í ¹Ý¿µÇؼ­ º¸ÀÚ´Â ½ÄÀ¸·Î ÇÏ°Ô µÇ¾î¼­ Á¤È®ÇÑ Á¤º¸´Â µÇÁö ¾ÊÀ» °Í °°½À´Ï´Ù. Á¤È®ÇÑ Á¤º¸¸¦ ¾ò°í ½ÍÀº ºÐµéÀº.. ´ÙÀ½ÀÇ ¸µÅ©¸¦ ÂüÁ¶ ÇϽʽÿÀ.

http://snowman.net/projects/ipt_recent/
http://users-x.757.org/~joat/wiki/index.php/Slowing_down_SSH_brute_force_attacks
http://la-samhna.de/library/brutessh.html

À̸§ Æнº¿öµå
ºñ¹Ð±Û (üũÇÏ¸é ±Û¾´À̸¸ ³»¿ëÀ» È®ÀÎÇÒ ¼ö ÀÖ½À´Ï´Ù.)
¿ÞÂÊÀÇ ±ÛÀÚ¸¦ ÀÔ·ÂÇϼ¼¿ä.
   

 



 
»çÀÌÆ®¸í : ¸ðÁö¸®³× | ´ëÇ¥ : ÀÌ°æÇö | °³ÀÎÄ¿¹Â´ÏƼ : ·©Å°´åÄÄ ¿î¿µÃ¼Á¦(OS) | °æ±âµµ ¼º³²½Ã ºÐ´ç±¸ | ÀüÀÚ¿ìÆí : mojily°ñ¹ðÀÌchonnom.com Copyright ¨Ï www.chonnom.com www.kyunghyun.net www.mojily.net. All rights reserved.