Grokking 复杂的字典攻击

Question

我的一台服务器似乎正在对 ssh 进行复杂的字典攻击，因为我看到一堆用户名在我的服务器上按字母顺序尝试使用，但密码失败。

不寻常的事情是：

• 每 2 分钟只有一次尝试
• 每次尝试都来自不同的 IP 地址

你能帮我理解如何从不同的 IP 地址做到这一点，它可以被有效地阻止吗？攻击的缓慢持久性（可能需要几个月的时间来完成字母表）是否意味着什么？

我也很想知道是否有其他人目前在他们的公共 ssh 服务器上看到类似的活动（即我们是特定目标，还是这个攻击者用这种攻击覆盖了数千个 ssh 服务器？）

另外，有什么方法可以让我透露正在尝试的密码（甚至哈希）？我注意到每个名字只被尝试过一两次。我假设他们正在尝试“密码”或用户的用户名 - 但我可以验证这一点吗？

Answer 1

对此的简单答案是不要使用密码！！！

你可以：

• 使用ssh 密钥。加密它们以获得额外的安全性
• 使用一次性密码生成器，如Mobile-OTP
• 使用Kerberos

如果您必须使用密码，请仅允许来自您信任的子网的密码，而不是整个 Internet。此外，它有助于在 22 以外的某个端口上运行您的 ssh 守护程序。通常我不建议这样做，但如果它减少了您看到的攻击量，那就更好了。

在回答您的具体问题时：

• 我在我运行的任何具有面向公众的 ssh 服务器的主机上都看到过此类攻击。
• 我怀疑他们正在使用根据过去的工作经验开发的用户名/密码字典。例如，我的日志有
  • 针对用户“ftp”的 18 次尝试
  • 23 次针对用户“论坛”的尝试
  • 3 用户“伯纳德”
  • 1 用户“bret”
• 我也看到过这种攻击，他们使用了特定于站点的实际登录名，但那些可能是从该站点的开放式 ldap 服务器中剔除的（大学，一定要爱他们！）
• 这些攻击可能来自具有一些令人印象深刻的集中控制的僵尸计算机。
• 这些攻击以每 1 到 5 分钟一次的速度发生，整天，每天
• 我只是尝试绑定 sshd 以查看收集攻击者尝试的密码是否微不足道，而且看起来您必须修补代码。
  • 这些人就是这样做的，发现密码通常是用户名或众所周知的密码（例如 sql 或 admin）的排列。