SSHに対するブルートフォースアタック(力技攻撃、総当たり攻撃)のこと。

目次 概要 対策 概論 スクリプト 結論

概要

そのホストでのユーザーアカウントを奪取するために、sshdに対してパスワード総当たり攻撃を行なうこと。及び、その攻撃のこと。

近年、この攻撃が増えており、実際にアカウントを奪われる例も出ている。

攻撃元は、IPアドレスから判断すると、特定アジア(南鮮、支那)と米国というのが典型的な状況となっている。

対策

概論

sshdのポート番号を変更する等の方法はあるが、利便性は幾らか損なわれる。

また、既に多くの利用者がいるホストでこれを行なう場合、事前の通知など多大な作業が必要になる。

特定アジア(南鮮と支那)からのアクセスを無条件でdenyするだけで劇的な効果が見られるが、全部denyするのはためらわれる場合、スクリプト等を使って対処することになる。

スクリプト

スクリプト等で対処する場合、次のいずれかの方法がよく取られる。

• エラーログから攻撃元のIPアドレスを抜き出し、denyに追加する
• 短期間に複数回数のsshアクセスがあった場合にdenyする

ログを使う方法は簡単だが、その性質上リアルタイムでの対応は出来ず、またログが肥大化する点に注意が必要となる。

結論

結論としては、次のような対策をするのが良いとされている。

• パスワード認証を辞める (PasswordAuthentication no、ChallengeResponseAuthentication no)
• 特定のIPアドレスからのみアクセスを許可し、それ以外は全て拒否する
• sshdの待ち受けポートを22/tcp以外に変更する (これは本質的ではない)
• あるいは22/tcpでknockdを使う(Linuxの場合)
• 防御用スクリプトを導入
• ログから定期的に攻撃を検知し、随時denyに追加
• 同じIPアドレスからの連続アクセスを自動的に拒否する (Linuxの場合はiptables)

なお、当然だが通常のTELNETのデーモンtelnetdは、そもそも起動しないか接続元を絞っておくこと。SSHでいくらがんばっても、TELNETが穴になっていたのでは無意味である。

リンク

用語の所属
ブルートフォースアタック
アタック
関連する用語
SSH

[再検索] [戻る]