SSHDICT – SSH攻撃

メソッドの説明

このメソッドを使用すると、SSHサービス(TCP/22)の偽造証明書によってユーザ名、パスワード、またはログインを推測する攻撃を検知できます。このメソッドでは、攻撃者と被害者の永続ツリーが作成され、攻撃者/被害者のペアに対する制限値(単一のIPアドレスからの攻撃20回またはAttackAttemptsオプションの値)を超えるとイベントがレポートされます。また、このメソッドでは、トラフィックの統計プロパティの突然の変化と攻撃の終了に基づいて、成功した攻撃を検知することもできます。このメソッドを使用すると、実行中の攻撃を速やかに検知し、パスワードが攻撃者に知られる前に攻撃者をブロックできます。攻撃者のアクティビティに大きな遅れがあった場合(30分超、またはAttackHoleオプションの値)、単一のIPアドレスからの攻撃は複数の攻撃であると解釈されることがあります。

このメソッドは、以下のサブメソッドで構成されます。

• General: SSHサーバ上でパスワード類推攻撃(辞書攻撃またはブルートフォース攻撃をベースとする)をレポートします。

メソッド設定

このメソッドをすべてのIPアドレスに対して適用し、自社サーバに対する攻撃だけでなく、自社ネットワークからインターネットへの攻撃も監視することをお勧めします。トラフィックの適切な監視場所は中央のスイッチとインターネット接続回線です。

メソッドパラメータ

• AttackAttempts: 1人の攻撃者から行われたSSHサービスへのログイン試行の最小数。

• AttackHole: このパラメータで指定した時間内にログイン試行がない場合、攻撃は終了としてマークされます。

• MinTargets: イベントを生成するために必要な攻撃ターゲットの最小数。

• ObscurePorts: 監視対象ネットワークでSSHサービスが提供される22以外のポート番号のカンマ区切りリスト。

• MaxPackets: 検知で考慮されるログイン攻撃あたりの最大パケット数。値0は、このパラメータが適用されないことを意味します。大量のパケットを持つフローを除外すれば、誤検知率が低下しますが、成功判定の正確さも低下します。

• ExcludeUnsuccessful: 成功しなかった攻撃がレポートから除外されます。

• PartOfAttack: すでに検知されている攻撃のターゲットとなっているアドレスが別の攻撃者から攻撃された場合、指定よりもこの割合だけ少ない数のログイン試行後に検知されます。

• SuccAttack: 試行が成功する前に発生した試行失敗の最小数。この値以上の試行失敗は攻撃と見なされます。

• TimeWindow: この期間中、試行の統計が保存されます(攻撃が検知された場合を除く)。

フィルタの割り当て

フィルタは、送信元または宛先IPアドレスの制限に使用されます。

結果の解釈

このメソッドの結果は比較的分かりやすくなっています。このメソッドでは、SSHサービスに対する攻撃が検知されます。SSHプロトコルを使用する一部の監視システムのアクティビティを評価するときに、誤検知が生成されることがあります。