چگونه عامل حمله های brute force را شناسایی کنم؟
سلام
چندوقتی هست که تو لاگ میکروتیک های مجموعه مشاهده میکنم که موردهای ناموفق پیاپی برای دسترسی به میکروتیک از طریق پورت 22 یا همان ssh اتفاق افتاده است.
با توجه به اینکه فقط از چند ای پی خاص استفاده میکند،چطور عامل حمله رو شناسایی کنم؟ip ها هم ولید و رنج خارج از کشور هست.
سوال دومی هم که دارم اینه که ایا وقتی من سرویس ssh را روی میکروتیک میبندم این سرویس کلا واسه همه بسته میشه یا فقط برای کسانی که به این میکروتیک مخوان ssh بزن بسته میشه؟
متشکر
4 پاسخ
*سلام
دوست عزیز میشه این دستورو خودتون دقیقشو بگین که کجا باید وارد کنیم و اینکه اون ای پی خاصو کجاش بزاریم تو دستور؟*
یعنی منظورت اینه که کسی دسترسی پیدا کرده به سیستم یا فقط سعی در دسترسی بوده؟
سیستم تشخیص نفوذ محصولات كسپراسكای بد نیست یکبار تست کردم خوب بود رو سرور اما این محصول رو من بعنوان نمونه گفتم نه اینکه حتما این خوبه
زمانیکه شما SSH رو بصورت کامل ببندید برای همه بسته میشه مگر اینکه تعیین کنید برای چه آدرس هایی باز باشه پورت 22 ،اما راهکار جلوگیری از Brute Force نوشتن یک Rule هست که تعداد Login های ناموفق رو شناسایی کنه و نزاره یک آدرس IP خاص بیشتر از یک تعداد معین تلاش برای ورود به سیستم انجام بده ، شما می تونید به آموزش زیر مراجعه کنید برای اینکه تعیین کنید آدرس های IP خاصی فقط مثلا 10 بار بتونن لاگین ناموفق انجام بدن و بعدش Block بشن :
4- حفاظت در برابر حمله های Brute Force
این نوع حملات هکر ها با استفاده از نرم افزارهای روبوت با ارسال میلیاردها میلیارد نام کاربری و کلمه عبور بر روی بخش Login و با استفاده از قاعده زمان بی نهایت و حالت بی نهایت که احتمال 100% را نتیجه می دهد، به یافتن نام کاربری و کلمه عبور اقدام می کنند. پس هر چه نام کاربری و کلمه عبور پیچیده تری انتخاب کنید، هکر دیرتر موفق می شود. اما در صورتیکه میکروتیک شما از قابلیت Brute Force Detection برخوردار نباشد باز هم هکر می تواند به نتیجه دلخواهش که همانا دستیابی به نام کاربری و کلمه عبور شماست برسد.ما در اینجا آموزش جلوگیری از این روش حمله در FTP و SSH رو قرار می دهیم.Winbox را باز کنید و وارد terminal شوید و دستورات زیر را وارد کنید.terminal اگر قبلا پورت سرویس های زیر را تغییر داده اید باید شماره پورت در دستورات زیر نیز تغییر کند.دستورات زیر برای جلوگیری از حمله Brute Force بر روی FTP می باشد.
add chain=input protocol=tcp dst-port=21 src-address-list=ftp_blacklist action=drop comment="drop ftp brute forcers" add chain=output action=accept protocol=tcp content="530 Login incorrect" dst-limit=1/1m,9,dst-address/1m add chain=output action=add-dst-to-address-list protocol=tcp content="530 Login incorrect" address-list=ftp_blacklist address-list-timeout=3h
دستورات زیر برای جلوگیری از حمله Brute Force بر روی SSH می باشد.
add chain=input protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop comment="drop ssh brute forcers" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage3 action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=10d comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage2 action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new src-address-list=ssh_stage1 action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m comment="" disabled=no add chain=input protocol=tcp dst-port=22 connection-state=new action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m comment="" disabled=no