安全基础 基于SSH的恶意登录攻击分析(3) | ||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2006年12月04日 09:08 天极yesky | ||||||||||||||||
然后我们分析了是谁在攻击蜜罐系统,以及这些攻击有什么规律。在这次攻击中有23个不同的IP进行恶意登录。这些攻击者有的攻击的次数并不多,但有的却是弃而不舍。表3显示了这23个IP的攻击情况。在这些IP中有10个IP的攻击次数小于50,有5个IP的攻击次数在170左右,还有8个IP的攻击次数在1450以上。图2显示了这些IP攻击次数分布图。
表3 不同的IP攻击的次数
图2 不同的IP攻击次数分布图
让我们更进一步地分析一下这些黑客是如何进行攻击的。有的黑客使用一个单独的帐启和一个和帐户名差不多的密码进行登录,然后又换一个帐户(如test/test)。还有一些黑客采用了不同的方法。如IP为10.0.179.148的黑客每一个帐户试了5个密码。这些被使用的密码是一些帐户名和数字的组合(如admin/admin1、admin/admin123、admin/)。而IP为10.0.105.52的黑客主要使用root进行尝试登录。他使用的密码涵盖的范围非常广,如(root/!@#, root/123abc, root/default)。
为了了解黑客所使用的工具和攻击方法,我们测试了每个IP在两次登录尝试的平均间隔时间和变化。我们可以通过这些数据很容易地检测出黑客所使用的工具。如果我们得到的数据没有什么规律,那就说明黑客并没使用工具,只是手工进行登录尝试。图3显示了这些IP在两次登录尝试之间的间隔时间(单位是秒)。
图3
从上图可以看出,前5个IP的登录间隔在2到4秒之间,这说明他们可能使用了黑客工具,为了不过于频繁登录而引起系统的注意,因此,将工具的攻击间隔设为2到4秒。而我们也可注意到10.0.192.15每7秒进行一次登录,这说明他可能是通过人工方式进行攻击的。从图3可以看出,大多数的黑客都使用了工具进行攻击。
|