Sie sind hier: Startseite / IT / Informatik / Linux / SSH brute force Attacken mittels Netfilter/Iptables verhindern

SSH brute force Attacken mittels Netfilter/Iptables verhindern

Welcher Linux-Admin kennt die brute-force Wörterbuch-Attacken gegen SSH nicht aus den Logfiles?

Mit dem recent Modul von Netfilter/Iptables kann man sich dagegen wehren:

#log chain, loggt die Versuche und droppt sie
iptables -N logssh
iptables -A logssh -m limit --limit 10/min --limit-burst 20 -j LOG --log-prefix "alert (ssh brute-force): "
iptables -A logssh -j DROP

# matcht wenn IP bereits 3 x in der Liste ist und die last seen time < 60 sec ist
# zusätzlich muss die TTL des Paketes gleich dem ursprünglichen sein, das die Regel mit --set gemacht hatte
# verhindert denial-of service attacken per ip-spoofing!
iptables -A INPUT -i $IFACE_EXT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --rttl --hitcount 3 --name SSH -j logssh
# weniger als 3 mal: fügt die Source-Adresse zu der Liste hinzu bzw updatet sie
iptables -A INPUT -i $IFACE_EXT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSH -j ACCEPT

Wer den Angreifer noch mehr ärgern will sollte sich mal das Iptables-Target TARPIT anschauen...

Artikelaktionen

Send this

Navigation

Anmelden: Benutzername

Passwort

Die Verwendung von Cookies ist nicht erlaubt. Sie müssen Cookies erlauben, bevor Sie sich anmelden können.; Passwort vergessen?

Nachrichten: Frohe Weihnachten! 24.12.2019; Flammenwerfer a.k.a. LaunchControl 08.06.2014; Motorsport LaunchControl und WOT-Shitfting für Digifant 1 07.11.2012; Digifant 1 live Datenausgabe (K-Line) 07.11.2012; Digifant 1 mit 400 kpa Map-Sensor 01.04.2012; Weitere Nachrichten…