一種自動(dòng)防御sshd攻擊的方法【專利摘要】本發(fā)明提供一種自動(dòng)防御SSHD攻擊的方法,首先針對(duì)sshd攻擊���,部署swatch監(jiān)控軟件及應(yīng)對(duì)策略;當(dāng)外界IP地址登錄linux應(yīng)用服務(wù)器或集群系統(tǒng)時(shí)�;swatch監(jiān)控程序會(huì)根據(jù)記錄在/var/log/secure日志文件中記錄失敗的訪問信息及IP地址進(jìn)行數(shù)據(jù)分析,進(jìn)而判斷該sshd訪問是否正常:本發(fā)明的一種自動(dòng)防御SSHD攻擊的方法和現(xiàn)有技術(shù)相比��,能夠有效防御通過sshd進(jìn)行網(wǎng)絡(luò)攻擊和密碼暴力破解的潛在風(fēng)險(xiǎn)����,而且本發(fā)明還具有設(shè)計(jì)合理、結(jié)構(gòu)簡(jiǎn)單���、使用方便等特點(diǎn)��,因而�,具有很好的使用價(jià)值?����!緦@f明】一種自動(dòng)防御SSHD攻擊的方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及計(jì)算機(jī)【
技術(shù)領(lǐng)域:
】����,具體地說是一種自動(dòng)防御SSHD攻擊的方法?����!?br>背景技術(shù):
】[0002]在目前的linux應(yīng)用環(huán)境中����,通過sshd進(jìn)行網(wǎng)絡(luò)攻擊和密碼暴力破解是當(dāng)前很多l(xiāng)inux應(yīng)用系統(tǒng)面臨的一個(gè)潛在風(fēng)險(xiǎn);輕則導(dǎo)致系統(tǒng)宕機(jī)�,重則會(huì)導(dǎo)致數(shù)據(jù)泄露或系統(tǒng)癱瘓?��!?br/>發(fā)明內(nèi)容】[0003]本發(fā)明的目的是克服現(xiàn)有技術(shù)中存在的不足�,提供一種自動(dòng)防御SSHD攻擊的方法。[0004]本發(fā)明的技術(shù)方案是按以下方式實(shí)現(xiàn)的�����,方法如下:1)針對(duì)sshd攻擊�,部署swatch監(jiān)控軟件及應(yīng)對(duì)策略;2)當(dāng)外界IP地址登錄linux應(yīng)用服務(wù)器或集群系統(tǒng)時(shí)���;3)swatch監(jiān)控程序會(huì)根據(jù)記錄在/var/log/secure日志文件中記錄失敗的訪問信息及IP地址進(jìn)行數(shù)據(jù)分析�,進(jìn)而判斷該sshd訪問是否正常:a)正常情況下是在輸入操作系統(tǒng)的用戶名和密碼后正常訪問該系統(tǒng)���;b)異常情況下當(dāng)出現(xiàn)sshd非法攻擊時(shí)�����,會(huì)出現(xiàn)頻繁的嘗試破解密碼����;4)如果該訪問正常��,系統(tǒng)則運(yùn)行用戶登錄并訪問linux系統(tǒng)����;5)如果該訪問異常,貝U首先會(huì)sshd_blocked_ip_list文件中記錄該IP信息����;6)針對(duì)該異常IP地址,將使用iptables安全策略限制該ip地址訪問linux服務(wù)器的22端口����,并在一小時(shí)后再度打開該限制策略;7)Linux系統(tǒng)管理員將可以根據(jù)異常訪問記錄及限制隊(duì)列信息�,對(duì)IP地址進(jìn)行永久限制訪問等安全策略。[0005]本發(fā)明的優(yōu)點(diǎn)是:本發(fā)明的一種自動(dòng)防御SSHD攻擊的方法和現(xiàn)有技術(shù)相比�����,能夠有效防御通過sshd進(jìn)行網(wǎng)絡(luò)攻擊和密碼暴力破解的潛在風(fēng)險(xiǎn)���,而且本發(fā)明還具有設(shè)計(jì)合理��、結(jié)構(gòu)簡(jiǎn)單����、使用方便等特點(diǎn)�,因而,具有很好的使用價(jià)值����?���!緦@綀D】【附圖說明】[0006]圖1為一種自動(dòng)防御SSHD攻擊的方法的結(jié)構(gòu)示意圖�。【具體實(shí)施方式】[0007]下面結(jié)合附圖對(duì)本發(fā)明的一種自動(dòng)防御SSHD攻擊的方法作以下詳細(xì)說明���。[0008]如圖1所示��,本發(fā)明的一種自動(dòng)防御SSHD攻擊的方法���,方法如下:1)針對(duì)sshd攻擊,部署swatch監(jiān)控軟件及應(yīng)對(duì)策略���;2)當(dāng)外界IP地址登錄linux應(yīng)用服務(wù)器或集群系統(tǒng)時(shí)�����;3)swatch監(jiān)控程序會(huì)根據(jù)記錄在/var/log/secure日志文件中記錄失敗的訪問信息及IP地址進(jìn)行數(shù)據(jù)分析���,進(jìn)而判斷該sshd訪問是否正常:a)正常情況下是在輸入操作系統(tǒng)的用戶名和密碼后正常訪問該系統(tǒng)����;b)異常情況下當(dāng)出現(xiàn)sshd非法攻擊時(shí)��,會(huì)出現(xiàn)頻繁的嘗試破解密碼�;4)如果該訪問正常�,系統(tǒng)則運(yùn)行用戶登錄并訪問linux系統(tǒng);5)如果該訪問異常���,貝U首先會(huì)sshd_blocked_ip_list文件中記錄該IP信息�����;6)針對(duì)該異常IP地址�,將使用iptables安全策略限制該ip地址訪問linux服務(wù)器的22端口�,并在一小時(shí)后再度打開該限制策略;7)Linux系統(tǒng)管理員將可以根據(jù)異常訪問記錄及限制隊(duì)列信息��,對(duì)IP地址進(jìn)行永久限制訪問等安全策略��。[0009]改進(jìn)過程:針對(duì)以上問題�����,采用了自動(dòng)防御sshd攻擊的方法����,基解決了集群系統(tǒng)的安全問題��,保證了集群系統(tǒng)的數(shù)據(jù)安全性和高性能計(jì)算的連續(xù)性�����。[0010]為解決客戶問題�����,針對(duì)現(xiàn)有l(wèi)inux集群進(jìn)行如下部署���。[0011]a)安裝swatch監(jiān)控軟件,針對(duì)sshd服務(wù)的日志文件為/var/log/secure進(jìn)行監(jiān)控���;b)創(chuàng)建swatch配置文件���,針對(duì)ssh遠(yuǎn)程頻繁登錄linux系統(tǒng)且密碼不正確的訪問IP進(jìn)行記錄,并執(zhí)行處理腳本��;#badloginattemptswatchfor/sshd.+Failedpasswordfor.+from([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)/echomagentabell1exec〃/root/swatch.sh$1〃c)創(chuàng)建攻擊檢測(cè)到后的處理腳本�����,針對(duì)記錄的IP信息,釆用iptables安全策略��,在一小時(shí)內(nèi)限制該用戶登錄22端口���,一小時(shí)后再次解禁;#!/bin/shIP=$1echo$IP>>/root/sshd—blocked—ip_list/sbin/iptables-1INPUT_s"$IP〃-ptcp—dport22-jDROP/usr/bin/at〃now+1hours〃<<<sbin/iptables_DINPUT_s$IP-ptcp—dport22-jDROP"d)運(yùn)行swatch�,對(duì)/var/log/secure的日志事件進(jìn)行監(jiān)控;#/usr/bin/swatch_t/var/log/secure-daemone)經(jīng)過監(jiān)控記錄顯示����,一個(gè)來自于西歐的IP地址頻繁的攻擊破解集群的登錄節(jié)點(diǎn);使用iptables防火墻策略永久限制該IP的訪問�。[0012]本發(fā)明的一種自動(dòng)防御SSHD攻擊的方法其加工制作非常簡(jiǎn)單方便,按照說明書附圖所示即可加工�����。[0013]除說明書所述的技術(shù)特征外��,均為本專業(yè)技術(shù)人員的已知技術(shù)�。【權(quán)利要求】1.一種自動(dòng)防御SSHD攻擊的方法�,其特征在于方法如下:1)針對(duì)sshd攻擊,部署swatch監(jiān)控軟件及應(yīng)對(duì)策略;2)當(dāng)外界IP地址登錄Iinux應(yīng)用服務(wù)器或集群系統(tǒng)時(shí)�����;3)swatch監(jiān)控程序會(huì)根據(jù)記錄在/var/log/secure日志文件中記錄失敗的訪問信息及IP地址進(jìn)行數(shù)據(jù)分析�,進(jìn)而判斷該sshd訪問是否正常:a)正常情況下是在輸入操作系統(tǒng)的用戶名和密碼后正常訪問該系統(tǒng);b)異常情況下當(dāng)出現(xiàn)sshd非法攻擊時(shí)����,會(huì)出現(xiàn)頻繁的嘗試破解密碼;4)如果該訪問正常���,系統(tǒng)則運(yùn)行用戶登錄并訪問Iinux系統(tǒng)��;5)如果該訪問異常,貝U首先會(huì)sshd_blocked_ip_list文件中記錄該IP信息��;6)針對(duì)該異常IP地址���,將使用iptables安全策略限制該ip地址訪問Iinux服務(wù)器的22端口,并在一小時(shí)后再度打開該限制策略����;7)Linux系統(tǒng)管理員將可以根據(jù)異常訪問記錄及限制隊(duì)列信息,對(duì)IP地址進(jìn)行永久限制訪問等安全策略����?���!疚臋n編號(hào)】H04L29/06GK104394159SQ201410717162【公開日】2015年3月4日申請(qǐng)日期:2014年12月3日優(yōu)先權(quán)日:2014年12月3日【發(fā)明者】陳良華申請(qǐng)人:浪潮集團(tuán)有限公司