ブルートフォースのSSH攻撃を引き付ける
Server Fault に質問を投稿しましたが、反対票が出され、質問が閉じられました。
コメントの1つはここを見ることを提案したので、ここに行きます:
私のシニアプロジェクトでは、ブルートフォースSSH攻撃を処理するように機能するアプリケーションに取り組んでいます。
私は、1日あたり数百、数千ではないように見えるVPSを持っていますが、試行を分析するためだけに2〜3個の新しいVPSを取得しています。
人々に私のサーバーを攻撃させる最も速い方法は何ですか?
データは公開されません-IPアドレスは解放されません。それは完全に無影響です。サーバーは、pythonスクリプトが実行され、それ以外は何も実行されません。
私が考えていた:
- 「ハッキング」フォーラムで質問する
- 彼らが侵入した場合に報酬($ 15ギフトカード?)を提供します
- ハニーポット
サーバーに大きな負荷がかかってもかまいません。データが多いほど良いです。私が気にしていることはすべて、1秒あたり1000回の試行が可能です。
これが適切なサイトかどうかはわかりませんが、試してみると思いました...
元の質問に対する別のコメントが述べたように、私のVPSが強く打たれた場合、私のVPSプロバイダーは満足できないかもしれません。その場合は、その問題について対応または話し合います
攻撃者には主に2種類あります。自動攻撃と標的攻撃です。
自動攻撃者は人間ではありません。これらは感染したマシンであり、さまざまなボットネットの一部であり、感染する他のマシンを見つけることでその基盤を拡大しようとします。彼らの戦略はほとんどランダムです。オープンSSHサーバーに対してランダムなIPアドレスを試し、次に一般的なアカウント名に対して一般的なパスワードを試します。 1日に受け取るこの種の接続の量を増やす(または、減らすには)ためにできることはほとんどありません。一部のネットワークプロバイダーは、これらの発生を検出してブロックまたはレートを制限しようとします。そのため、プロバイダーと話して、そのようなシステムが設置されているかどうかを確認できます。
標的型攻撃者は、特にyourマシンをクラックしたい人間です。この種の攻撃者を取得するには、何らかの動機を提供する必要があります。サーバーに保存されているいくつかの望ましい「商品」(ゲームや音楽や映画の海賊版のコピーなど)を自慢しようとする可能性があり、マシンを乗っ取る価値があります。あなたは非常に物議を醸す立場で政治志向のブログをホストしようとすることができます。自慢はそれ自体で攻撃者を引き付けます:誰もが不十分な知識すべてを遮断することを愛し、彼のサーバーをハッキングすることはそれを達成する効率的な方法のように見えます。つまり、敵を作る。
ただし、ブルートフォースパスワードは最低グレードの攻撃であることに注意してください。新しく獲得した敵の一部が少し有能である場合、彼らはあなたのソフトウェアの脆弱性を悪用するなど、他の種類の攻撃を試みます。また、一部のユーザーは「すぐに使える」と考えて、サーバーではなくユーザーを直接ターゲットにすることができます。たとえば、あなたが所有しているドメインの名前を検索する場合、彼らはあなたのアドレスまたは電話番号を取得し、直接訪問を支払う可能性があります。原則として、敵を作らないことを勧めます「無責任」というものはありません。 「ありそうもない結果」しかない。
それが研究用である場合、次に、いくつかの主要なサイトまたはインフラストラクチャのシステム管理者にアプローチすることを試みることができます。これはあなたの上級プロジェクトです:したがって、潜在的な学術的サポートがあります。教授またはアドバイザーの助けを借りて、ISPまたは大規模なホスティングサービスがシステムでのデータ収集に同意するかどうかを確認することができます。彼らは、科学的プロジェクトとの共同作業にいくらかの財政的利益を見出すかもしれません。または、ほとんどのシステム管理者はギネス中毒であり、特に3パイントの後に共同ドリンクを手伝うことに同意する場合があります(あなたのプロファイルでは、あなたが17歳で米国に住んでいるため、このソリューションは公式には機能しません)。
あなたの問題はハニーポットの配置です。
攻撃者がインターネットをスキャンしてポート22が開いているかどうかを調べるが、IPスペース全体を最初から最後までスキャンしないことを考慮してください。サーバーは、IPスペースの特定の部分に集中しています。同様に、単純なインターネット加入者は、そのスペースの他の部分に位置しています。したがって、ハニーポットに適した場所でIPを使用する必要があります。
問題は、多くのサーバーをホストするIPブロックを見つけて、可能性を高めることです。そのために私はいくつかの方法を考えることができます:
- 最大のプロバイダーからスキャンされるVPSが最も多いため、VPSを購入する。
- さまざまなプロバイダーからより安価なVPSを購入する。
- 他のハニーポットプロジェクトの助けを得る。多分 Project Honeypot または Honeynet project が役立ちます。
このようなブルートフォース攻撃を検出およびブロックしないプロバイダーを選択したことを確認してください。
私はあなたがハッキングフォーラムに正しい答えの投稿を持っていると思います、それは利益よりプロセスに興味がある人のためのものです。 $ 15は利益を得るためのハッカーには興味がなく、盗む価値のある情報は(おそらく)ありません。クラックが非常に困難なSSHDを構築したことを彼らに伝えてください。興味があるかもしれません。
あるいは、何らかの価値のある何かがあると彼らに考えさせることができれば、それを攻撃するfor-gainタイプを取得できる可能性があります。ハッカーフォーラムに投稿して、これらのサーバーに侵入し、非常に興味深いもの(クレジットカードリスト、ある種の新しい原子炉の計画など)があったとしても、それらは穴にパッチを適用してアクセスを失ったため、誰でもできます方法はありますか?何が起こるか見てください。
私はホストの幅広いvarietyが鍵になると思います。私が実行した、ポート22が世界に開かれているいくつかのホストを確認したところ、すべてのホストが1日あたり数千回の試行の範囲で成功しました。 1日に15,000を超えることはありません。それはかなり正常なようです。
3つの異なるホスティングプロバイダー(AWS EC2、OVH、iomart)で3つのホストを確認しました。すべてが異なる国にありますが、すべてがヨーロッパを中心としていました。
ボットごとに明らかに異なる戦略が見られます。場合によっては、単一のIPがrootユーザーに対して数千回の試行を行い、他のユーザーには決して試行しません。他のボットは、ftpやpostgresなどの一般的なユーザーに対して5〜10回の試行を行い、test1、test2などの一般的ではないユーザー名に対してそれぞれ1回の試行を行います、test3、test4。
私が目にするほとんどのボットは常に30,000を超える送信元ポートを持っていますが、常に4桁の送信元ポートを選択する少なくとも1つのボットがあり、それが他のホストを同時に攻撃していると仮定すると、新しい試行ごとに、送信元ポートが1ずつ増加します。 9999を押した後、約1000になります。実際、詳しく見てみると、5桁の送信元ポートボットは61,000から33,000にラップしています。これは、ボットが他のホストに対して、あなたが見るものと並行して何回試みているかを推定する良い方法を提供するはずです。
プロバイダーや国によって攻撃の数や種類に違いがあるかどうかはわかりませんが、調査に追加すると興味深い側面になります。アメリカのホストがもっと標的にされても私を驚かせないでしょう。
ポート22だけに注目する価値はないかもしれません。何年も前に、ポート10000でsshを実行するボックスを実行したことを思い出します。sshポートにWebminのログイン試行が何千回も試行されました。オープンするのにあまり一般的でないポートだと私が考えたところに、何度も試みがあったことに感銘を受けました。 Webminを使用するシステム管理者も、デフォルトまたは簡単なパスワードを持っている可能性が高く、自分のボックスが他の誰かの制御下にあることに気付かないため、その種のポートでは成功率がはるかに高い可能性があります。ポート21および23で多くのログイン試行が発生する可能性があります。また、ポート110(POP)、143(IMAP)、および3389(RDP)も使用される可能性があります。
Amazon EC2インスタンスは非常に良い計画かもしれません。無料階層でマイクロインスタンスを取得でき、1か月あたり750インスタンス時間を無料で利用できます。これは、すべての月でオンに切り替えられる単一のインスタンスとして、または毎月1日にすべてオンである30のインスタンスとして使用できます。 30インスタンスでは、1日あたり30倍の試行回数が得られますが、1か月あたりの試行回数はほぼ同じです。インスタンスを異なるリージョンに配置すると、異なるIPネットワークと、できれば異なる種類の攻撃トラフィックが発生するはずです。