我在Server Fault上发布了一个问题,但被否决并关闭了问题。
其中一条评论建议看这里,所以这里是:
对于我的高级项目,我正在开发一个用于处理暴力 SSH 攻击的应用程序。
我有一个 VPS 似乎每天有几百甚至几千次点击,但我得到两到三个新的 VPS 只是为了分析尝试。
让人们攻击我的服务器的最快方法是什么?
不会公开任何数据 - 不会发布任何 IP 地址。它将完全没有后果。服务器将安装全新的 Ubuntu,运行 python 脚本,仅此而已。
我刚在想:
- 在“黑客”论坛上提问
- 如果他们设法闯入,提供奖励(15 美元的礼品卡?)
- 蜜罐
我不在乎我的服务器是否受到重创——数据越多越好。我关心的可能有 1000 次尝试/秒。
我不确定这是否是要询问的正确网站,但我想我会尝试...
正如对原始问题的另一条评论所说,如果我的 VPS 受到重创,我的 VPS 提供商可能会不高兴。如果是这样的话,我会处理/与他们讨论这个问题。
攻击者主要有两种:自动的和有针对性的。
自动攻击者不是人类;它们是受感染的机器,是各种僵尸网络的一部分,它们试图通过寻找其他要感染的机器来扩大自己的基础。他们的策略大多是随机的:他们为开放的 SSH 服务器尝试随机 IP 地址,然后为常用帐户名尝试常用密码。您几乎无法增加(或就此而言减少)您每天将收到的此类连接的数量。一些网络提供商试图检测这些事件并阻止它们或限制它们的速率,因此您可以与您的提供商交谈,看看他是否有这样的系统。
有针对性的攻击者是想要破解你的机器的人,特别是。要获得这种攻击者,您需要提供某种动机。您可以尝试吹嘘存储在您的服务器上的一些理想的“商品”(例如大量盗版游戏或音乐或电影),从而使劫持您的机器变得值得。您可以尝试托管一个具有高度争议性立场的政治博客。有时吹嘘本身就会吸引攻击者:每个人都喜欢让一个令人难以忍受的无所不知的人闭嘴,而入侵他的服务器似乎是实现它的有效方法。简而言之:制造一些敌人。
但请注意,暴力破解密码是最低级别的攻击。如果你新获得的一些敌人有点能干,他们会尝试其他类型的攻击,例如利用你的软件中的漏洞。此外,他们中的一些人可能会“开箱即用”而不是针对您的服务器,而是直接针对您;例如,如果他们查找您拥有的域名的名称,他们可能会获取您的地址或电话号码,并亲自拜访您。作为一般规则,我建议不要树敌。没有“无后果”之类的东西;只有“不可能的后果”。
如果那是为了研究,那么您可以尝试联系一些主要站点或基础设施的系统管理员。这是你的高级项目:因此,有潜在的学术支持。在您的教授或顾问的帮助下,您可以尝试查看 ISP 或大型托管服务是否同意在他们的系统上收集数据;他们甚至可能从与科学项目合作中获得一些财政收益。或者,大多数系统管理员都沉迷于 Guinness,并且可能同意帮助共同饮酒者,尤其是在第三品脱之后(您的个人资料显示您 17 岁并居住在美国,因此该解决方案不能正式适用于您)。
您的问题是蜜罐的放置。
考虑到攻击者会扫描互联网以寻找开放的 22 端口,但他们不会从头到尾扫描整个 IP 空间。服务器集中在 IP 空间的某些部分。同样,简单的互联网用户位于该空间的其他部分。因此,您必须在正确的位置为您的蜜罐使用 IP。
问题在于找到那些托管大量服务器的 IP 块以提高您的机会。为此,我可以想到几种方法:
确保您选择的提供商不会检测和阻止此类暴力攻击。
我认为你在黑客论坛上发布了正确的答案,那些对过程更感兴趣而不是收益的人。15 美元不会引起黑客的兴趣,而且你(希望)没有值得窃取的信息。告诉他们你已经构建了一个很难破解的 SSHD,感谢任何可以破解它的人。它可能会引起兴趣。
或者,如果你能让他们认为他们身上有一些值得拥有的东西,那么你可能会让他们攻击它,这需要编造某种故事。你可以在一些黑客论坛上发帖说,你闯入了这些服务器,上面有非常有趣的东西(信用卡列表、某种新核反应堆的计划等),但他们修补了漏洞,所以你失去了访问权限,有人知道吗?有办法进去吗?走着瞧吧。
我认为各种各样的主机将是您的关键。我刚刚检查了我运行的几台向世界开放端口 22 的主机,它们每天都看到了数千次尝试。我一天没看到超过15,000个。这似乎很正常。
我检查了三个不同托管服务提供商的三台主机:AWS EC2、OVH 和 iomart。都在不同的国家,但都以欧洲为中心。
我确实看到了来自不同机器人的明显不同的策略。有时,单个 IP 会对用户进行数千次尝试,root而不会对任何其他用户进行。其他机器人将对普通用户进行 5 到 10 次尝试,例如ftp和 ,postgres并且每次尝试在一堆不太常见的用户名上尝试一次,例如test1, test2, test3, test4。
我看到的大多数机器人的源端口总是高于 30,000,但至少有一个机器人总是选择四位数的源端口,并且假设它同时攻击其他主机,每次新尝试都会将源端口增加一,直到它环绕达到 9999 后大约为 1000。实际上,现在我仔细观察,5 位数字源端口机器人从 61,000 降至 33,000。这应该为您提供了一种很好的方法来估计机器人在其他主机上与您看到的主机并行进行的其他尝试次数。
我不知道提供商或国家之间的攻击数量和类型是否会有所不同,但这将是一个有趣的方面,可以添加到您的研究中。如果美国东道主成为更多目标,我不会感到惊讶。
不仅关注端口 22 可能也值得。我记得几年前我在端口 10000 上运行了一个具有 ssh 的机器。我们看到成千上万的 Webmin 登录尝试访问我们的 ssh 端口。在我认为是一个不太常见的开放端口上,有多少次尝试让我感到震惊。现在我意识到使用 Webmin 的系统管理员也更有可能拥有默认密码或简单密码,并且不会注意到他们的盒子在其他人的控制之下,因此这种端口的成功率可能要高得多。您可能会在端口 21 和 23 上获得大量登录尝试。也可能是端口 110 (POP)、143 (IMAP) 和 3389 (RDP)。
Amazon EC2 实例可能是一个非常好的计划。您可以在免费套餐上获得微型实例,每月免费获得 750 个实例小时,可以作为一个整个月开启的实例使用,也可以作为每月开启一天的 30 个实例使用。30 个实例应该让您每天尝试的次数增加 30 倍,但每月的尝试次数大致相同。将您的实例放置在不同的区域应该会为您提供不同的 IP 网络,并有望获得不同类型的攻击流量。