BotNet 針對 SSH 嘗試暴力攻擊

根據 SANS Internet Storm Center 的報告，
最近 dshield 的觀察發現，最近針對 ssh port
22 的嘗試暴力攻擊事件增加。

卡爾森大學的 Jim Owens 以及 Jeana
Matthews 對此發表了一篇相關研究報告，這
篇研究報告中也提到針對這種攻擊的常見防護
機制的評比，值得網管一讀。

這些攻擊型態使用間隔相當長的時間，來嘗試
暴力攻擊 SSH(Secure Shell) 的帳號、密碼，以
此躲避入侵偵測系統(IDS)以及預防入侵系統
(IPS) 的偵測及鎖定。某些攻擊者使用了 botnet
來達到規避偵測系統設定的臨界值。

研究報告中提出的相關解決方案有：

1. 使用如 DenyHosts, fail2ban, BlockHosts 等
主機防護型軟體、配合 TCP Wrappers 進行防
護控管連到伺服器的連線。

2. 不允許 root 帳號直接登入。

3. 不使用易猜測的帳號名稱，比如你的姓、名
，學術單位經常列出使用者代號，成了被攻擊
的首要目標。

4. 強制使用不易猜測的密碼管理，或強制使用
公開金鑰的登入方式來取代單純使用密碼的認
證。

5. 使用 iptables 或類似的主機存取防護管制，
在防火牆之外多設幾道防護的縱深。

相關文章：

入侵偵測系統 IDS(Intrusion Detection System)

CIA 確認網路攻擊造成停電