1. ホーム
  2. 質問と答え
  3. Bro 2.4.1 SSHブルートフォース攻撃の電子メール通知を生成

Bro 2.4.1 SSHブルートフォース攻撃の電子メール通知を生成

2016-11-11 4 views
0

Bro(v2.4.1)でサーバ上でssh bruteforce攻撃をしようとしているときに電子メール通知を生成する際に問題が発生しています。Bro 2.4.1 SSHブルートフォース攻撃の電子メール通知を生成

@load protocols/ssh/detect-bruteforcing 

redef SSH::password_guesses_limit=5; 
redef SSH::guessing_timeout=1440 mins; 

hook Notice::policy(n: Notice::Info) 
    { 
    if (n$note == SSH::Password_Guessing && /192\.168\.178\.16/ in n$sub) 
      add n$actions[Notice::ACTION_EMAIL]; 
    }
192.168.178.16は私のサーバーのローカルIPで

と私は確信して作ったスクリプトは、それを含めることによってロードされる:私は最高のログインを再定義し、このようなブロスクリプトは5〜24時間当たりしようとします持っています$ PREFIX/site/local.broにあります。 broctl scriptsの出力は、起動時にスクリプトが正常にロードされたことを示しています。しかし、私はssh bruteforcing攻撃の電子メール通知を受け取りません。

接続サマリー、廃棄パケット、無効なSSL証明書通知は電子メールで送信されるため、電子メールの設定に問題はありません。私はそうのようなSSHのログ出力を確認した場合:

sudo cat /opt/bro/logs/current/ssh.log | bro-cut -d ts uid id.orig_h id.orig_p id.resp_h id.resp_p version auth_success direction client server cipher_alg

6は、ログインattempsは(私はこれをテストするために生成されていること)/opt/bro/logs/current/ssh.logにうまくログインしているに失敗しました:

2016-11-11T14:45:08+0100  CRoENl2L4n5RIkMd0l  84.241.*.* 43415 192.168.178.16 22  2  -  INBOUND SSH-2.0-JuiceSSH  SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3 aes128-ctr 
2016-11-11T14:45:13+0100  CMflWI2ESA7KVZ3Cmk  84.241.*.* 43416 192.168.178.16 22  2  -  INBOUND SSH-2.0-JuiceSSH  SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3 aes128-ctr 
2016-11-11T14:45:17+0100  CZuyQO2NxvmpsmsWwg  84.241.*.* 43417 192.168.178.16 22  2  -  INBOUND SSH-2.0-JuiceSSH  SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3 aes128-ctr 
2016-11-11T14:45:20+0100  CC86Fi3IGZIFCoot2l  84.241.*.* 43418 192.168.178.16 22  2  -  INBOUND SSH-2.0-JuiceSSH  SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3 aes128-ctr 
2016-11-11T14:45:25+0100  CHqcJ93qRhONQC1bm4  84.241.*.* 43419 192.168.178.16 22  2  -  INBOUND SSH-2.0-JuiceSSH  SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3 aes128-ctr 
2016-11-11T14:45:28+0100  CdV0xh1rI4heYaFDH2  84.241.*.* 43420 192.168.178.16 22  2  -  INBOUND SSH-2.0-JuiceSSH  SSH-2.0-OpenSSH_6.7p1 Raspbian-5+deb8u3 aes128-ctr

しかし、私はこの事件の電子メール通知を得ることはありません。私が考えることができる唯一の理由は、ssh経由のパスワードログインが無効になっていることです。プライベートキーのないログイン試行は、Broのssh_failed_loginイベントを起動していませんか?上記の表のauth_success列には失敗したログイン用のattempsの " - "が表示されますが、成功したログインには "T"が表示されるため、イベントが発生するためには "F"

ご協力いただきありがとうございます。

出典

2016-11-11 lange

答えて

1

SSHが暗号化されているため、成功した認証と失敗した認証を検出するヒューリスティックに頼らざるを得ませんでした。それらのヒューリスティックは時間の経過とともに改善されていますが、それでもまだ完全ではありません。 「auth_success」列が設定されている例のように設定されていない場合は、ログインが成功したかどうかをBroは推測できませんでした。

ブルートフォース検出スクリプトが機能していない理由は、ログインに失敗したことが決して検出されないためです。あなたの質問の終わりのあなたの疑惑は正しいです。

出典

2016-11-11 14:26:32

+0

ああ、それは公正です。あなたのすばやい返信をありがとう、私に苦労するいくつかの悩ましい時間を節約!私がSSH経由でアクセスできる唯一のユーザであり、成功したログインを検出すると、ssh_auth_resultイベントハンドラを作成し、別の解決策としてsuccesfull以外の結果を確認します。 – lange

+0

これ以外はプレーンポートスキャンでもトリガされます。 – lange

関連する問題

 関連する問題