|
Master |
18 |
表2 使用频率最高的15个密码
然后我们分析了是谁在攻击蜜罐系统,以及这些攻击有什么规律。在这次攻击中有23个不同的IP进行恶意登录。这些攻击者有的攻击的次数并不多,但有的却是弃而不舍。表3显示了这23个IP的攻击情况。在这些IP中有10个IP的攻击次数小于50,有5个IP的攻击次数在170左右,还有8个IP的攻击次数在1450以上。图2显示了这些IP攻击次数分布图。
|
攻击次数 |
IP数 |
|
< 50 |
10 |
|
50 <= x <= 200 |
5 |
|
> 200 |
8 |
表3 不同的IP攻击的次数
图2 不同的IP攻击次数分布图
让我们更进一步地分析一下这些黑客是如何进行攻击的。有的黑客使用一个单独的帐启和一个和帐户名差不多的密码进行登录,然后又换一个帐户(如test/test)。还有一些黑客采用了不同的方法。如IP为10.0.179.148的黑客每一个帐户试了5个密码。这些被使用的密码是一些帐户名和数字的组合(如admin/admin1、admin/admin123、admin/111111)。而IP为10.0.105.52的黑客主要使用root进行尝试登录。他使用的密码涵盖的范围非常广,如(root/!@#, root/123abc, root/default)。
为了了解黑客所使用的工具和攻击方法,我们测试了每个IP在两次登录尝试的平均间隔时间和变化。我们可以通过这些数据很容易地检测出黑客所使用的工具。如果我们得到的数据没有什么规律,那就说明黑客并没使用工具,只是手工进行登录尝试。图3显示了这些IP在两次登录尝试之间的间隔时间(单位是秒)。
图3
从上图可以看出,前5个IP的登录间隔在2到4秒之间,这说明他们可能使用了黑客工具,为了不过于频繁登录而引起系统的注意,因此,将工具的攻击间隔设为2到4秒。而我们也可注意到10.0.192.15每7秒进行一次登录,这说明他可能是通过人工方式进行攻击的。从图3可以看出,大多数的黑客都使用了工具进行攻击。
“成功”的恶意登录攻击
在上面的分析中,我们只是分析了未成功的登录攻击。这些分析使我们长了不少见识,知道了黑客是怎样进行攻击的。但还有很多问题没解决。这些问题之一就是这些攻击是否是通过工具进行的。在7月2日,一名黑客成功地通过猜到的用户名和密码进入了蜜罐系统。被截获的数据将回答这些未解决的问题。
首先让我们来看看黑客在成功登录蜜罐后做了什么。一但黑客进入蜜罐后,他们就开始以蜜罐系统作为跳板通过SSH扫描工具来扫描其它的SSH服务器。但由于蜜罐系统的网络输出已经用防火墙封死了。因此,扫描并未找到任何SSH服务器。
在扫描后,黑客在蜜罐系统上安装了一个IRC服务端。黑客可以通过这个IRC服务端来控制被攻击的服务器。使用IRC工具控制服务器可比使用SSH进行登录方便多了。黑客可以通过这个工具同时控制很多这样的服务器。
通过监视IRC数据流,我们发现黑客正在使用这个工具来扫描我们的B类网络。在几个小时之内,黑客通过这个工具扫描了4个B类网络,在这4个B类网络中包含了数千台SSH服务器。在扫描其间共使用了160,324个帐户和密码。这些用户名和密码和在攻击蜜罐系统时使用的用户名和密码类似,但它们的范围更广。
建议
在前几部分我们通过分析了解了黑客的一些企图和攻击方法。在这一部分让我们看看如何来防范他们的攻击。
其实有很多简单的方法可以阻止这些攻击。最直接的方法用是关闭daemon服务,这个服务在许多系统中默认是启动状态。当然,如果你不想这么做,那么还有其它的方法。
你还可以使用Unix或Linux系统中的/etc/hosts.allow和/etc/hosts.deny文件来限制对daemon服务的访问。还可以在SSH服务器上安装一个防火墙,用于隔离内部和外部的网络。
使SSH服务器只可以被指这的用户访问
将SSH服务器的监听端口从22改为其它的端口。当然,这么做并不能防止服务器被攻击,但它可以降低发现SSH daemon服务的可能性,因为,一般的SSH扫描工具的默认端口都是22。
更改登录验证的方式,即不使用密码进行登录。如果你没有这个条件,那就将密码设成强密码。
SSH为我们提供了一种更安全的加密方法,通过这种加密方法可以有效地缓解这种攻击方式。这种方法是基于密钥的,也就是所谓私钥和公钥。公钥被放在服务器上,供登录用户访问。这个公钥只有和相应的私钥相匹配后成功才能登录。一但你使用了密钥,那么就只有自己才可以通过私钥进行登录,而黑客由于没有私钥,而且这些种私钥又很难猜测,因此,黑客的任何登录都会以失败告终。虽然大多数服务器在默认情况下都提供了密钥登录,但有些管理员并没有将基于密码的登录关闭,这就给黑客留了一个后门。因此,在配置服务器时,切记只启动密钥登录,而不要启动密码登录,这样才能万无一失。
如果必须采用密码验证方式,那就将帐户名起得复杂一点。我们通过蜜罐系统观察到,大概有96.3%的默认帐户被猜到,一旦帐户被黑客猜到,那么黑客就已经将一只脚踏进了你的门。因此,在设置帐户时不要使用简单的名子,如’Peter’, ‘Mike’等,而要使用姓名的组合,如’seifer_chr’。这样可以降低帐户被黑客猜到的可能性。
另外,这个’root’帐户在大多数服务上都存在。我们推荐你将这个用户关闭,而使用其它的帐户来管理服务器。
黑客一般使用大多数系统都存在的帐户进行攻击,如ftp或mysql。如果这些帐户和系统帐户有什么联系的话,那将是非常危险的。所以我们建议在不需要这些帐户时,将FTP或MySQL以及其它服务关闭。
除了需要复杂的帐户名外,拥有强壮的密码也非常重要。我们发现有很多服务器的密码就是帐户名后加一些数字,更有甚者密码和帐户名完全一样。当然,这可以是一些系统管理员或用户的习惯。我想最好的办法是在服务器安装一些工具软件,如passwd ,以强制用户使用强密码。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
