web-dev-qa-db-ja.com

偽のSSHサーバーには、セキュリティ面で何らかの目的がありますか?

私はこれに偶然遭遇しました sshesame ソフトウェアは、ユーザー名/パスワードを受け入れるSSHサーバーを模倣しているように見えます。後続のシェルコマンドを実行するのではなく、ファイルに記録します。

私が理解できないことは、このツールが(教育以外に)どのように使用できるかです。そのため、SSHログイン試行が成功したためにサーバーに不要な注意を向けるだけであり、他のポートが攻撃されるのを防ぎません(実際のSSHを含む)ので、状況を悪化させるだけです。

見落としましたか?

44

このような偽のSSHサーバーを使用する理由は複数あります。それらは以下を含みます:

  • 攻撃を受けているかどうかを判断する
  • 推測されたユーザーとパスワードを知る(攻撃者が持っている情報を表示できる)
  • 攻撃者の関心のある行動を確認する
  • サーバーの悪用の試みを確認する(0daysまたはバックドアを開示する可能性があります)
  • 攻撃者がシステムに接近しようとする方法などを調査する。
  • 開発中の監査/テスト/攻撃ツールを含むクライアントソフトウェアのテスト(thanks Mołot

サーバーに何か価値のあるものがある場合は、システムに偽のSSHサーバーを設置しないことを検討してください。偽のサーバーも脆弱性になりやすい可能性があるため-1つの閉じたポートよりも優れています1つのオープンサービス

94

それはハニーポット/研究として使用され、ほとんどの使用されたパスワード試行などを収集できます。

そうでなければ、私はあなたの評価に同意します、それは魅力的な迷惑です。

実際の保護メカニズムを探している場合は、「Fail2Ban」をお勧めします。

27
user10216038

このようなオープンで偽のsshサーバーの良い使い方は、ハニーポットとして企業のLANに設定することです。 SIEMへのsyslog転送を設定する魅力的な(ただし、明らかに偽物ではない)ホスト名を設定し、誰かがそれに接続しているかどうか、およびユーザーが何をしようとしているかを確認します。正当な人は誰もその中でぶらぶらしてはなりません(ハントチームまたは赤いチームの運用が進行中でない限り)。

11
DarkMatter