SSH総当り攻撃が増加？

ssh

SSHへのブルートフォース攻撃が増加しているようです。

SSHブルートフォース攻撃が増加、SANSが対策を紹介 - ITmedia エンタープライズ

米セキュリティ機関のSANS Internet Storm Centerは、SSHを狙ったブルートフォース攻撃（ユーザー名・パスワード総当り攻撃）が急増しているようだと伝えた。多数のネットワークが攻撃に遭っているとの報告がSANSに寄せられているという。SANSによると、攻撃元のIPアドレスがまちまちな状況などから判断して、攻撃はボットネットから分散して仕掛けられているもようだという。このような攻撃では、「たった1人でも弱いパスワードを使っているユーザーがいればセキュリティを破られ、さらなる攻撃を招く恐れがあるため、この機会に改めて認識を高めておいた方がいい」と忠告している。

ちなみにSANS ISCの元記事は「Distributed SSH Brute Force Attempts on the rise again」みたいです。

僕の管理下にあるサーバについてはそれほど攻撃が多くなっているようには感じないんですけどね。防御については５年前に導入したipt_recentを使った方法（エヴァンゲリオンにかけて、６６６プロテクト.shと呼んでいます）を使っていますが良く効いています。

† 実際に使っている666protect.sh

実際にはこんな感じのスクリプトを使っています。60秒以内に５回以上sshにアクセスすると、その後20分間接続を締め出すというルールになっています。

iptablesに他のF/Wルールがある場合にこれをそのまま使うと、他の設定が吹っ飛んでしまうので必要に応じてカスタマイズする必要があることには注意が必要です。

666protect.sh

#!/bin/bash
iptables -F INPUT

# 規制除外アドレスを列挙
iptables -A INPUT -j ACCEPT -s 192.168.0.0/16 # INTERNAL

##### block ssh

#iptables -N block_ssh # 初回起動時だけ
#iptables -N ssh # 初回起動時だけ
iptables -F block_ssh
iptables -F ssh

iptables -A INPUT -j ssh -p tcp --dport 22

iptables -F block_ssh
iptables -A block_ssh -m recent --name block_ssh --set -j LOG --log-level info --log-prefix "TCP[DROP(ssh)]: " # ログ取るときだけ
iptables -A block_ssh -j DROP
iptables -F ssh

iptables -A ssh -p tcp ! --syn -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A ssh -p tcp --syn -m recent --name block_ssh --update --seconds 1200 -j DROP
iptables -A ssh -p tcp --syn -m recent --name syn_ssh --rcheck --seconds 60  --hitcount 5 -j block_ssh
iptables -A ssh -p tcp --syn -m recent --name syn_ssh --set
iptables -A ssh -p tcp --syn -j ACCEPT