SSHブルートフォースアタック

読み:エスエスエイチ・ブルートフォースアタック
外語:SSH Brute force attack 英語
品詞:名詞

SSHに対するブルートフォースアタック(力技攻撃、総当たり攻撃)のこと。

目次

そのホストでのユーザーアカウントを奪取するために、sshdに対してパスワード総当たり攻撃を行なうこと。及び、その攻撃のこと。

近年、この攻撃が増えており、実際にアカウントを奪われる例も出ている。

攻撃元は、IPアドレスから判断すると、特定アジア(南鮮支那)と米国というのが典型的な状況となっている。

概論

sshdのポート番号を変更する等の方法はあるが、利便性は幾らか損なわれる。

また、既に多くの利用者がいるホストでこれを行なう場合、事前の通知など多大な作業が必要になる。

特定アジア(南鮮と支那)からのアクセスを無条件でdenyするだけで劇的な効果が見られるが、全部denyするのはためらわれる場合、スクリプト等を使って対処することになる。

スクリプト

スクリプト等で対処する場合、次のいずれかの方法がよく取られる。

  • エラーログから攻撃元のIPアドレスを抜き出し、denyに追加する
  • 短期間に複数回数のsshアクセスがあった場合にdenyする

ログを使う方法は簡単だが、その性質上リアルタイムでの対応は出来ず、またログが肥大化する点に注意が必要となる。

結論

結論としては、次のような対策をするのが良いとされている。

  • パスワード認証を辞める (PasswordAuthentication no、ChallengeResponseAuthentication no)
  • 特定のIPアドレスからのみアクセスを許可し、それ以外は全て拒否する
  • sshdの待ち受けポートを22/tcp以外に変更する (これは本質的ではない)
  • あるいは22/tcpでknockdを使う(Linuxの場合)
  • 防御用スクリプトを導入
  • ログから定期的に攻撃を検知し、随時denyに追加
  • 同じIPアドレスからの連続アクセスを自動的に拒否する (Linuxの場合はiptables)

なお、当然だが通常のTELNETのデーモンtelnetdは、そもそも起動しないか接続元を絞っておくこと。SSHでいくらがんばっても、TELNETが穴になっていたのでは無意味である。

用語の所属
ブルートフォースアタック
アタック
関連する用語
SSH

コメントなどを投稿するフォームは、日本語対応時のみ表示されます


KisoDic通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club