绝杀root密码攻击——本人最近研究(页 1) - Linux/Unix系统安全 - Linux伊甸园论坛

tree2008 发表于 2007-5-11 13:27

绝杀root密码攻击——本人最近研究

先看root密码攻击
Jul 16 10:29:24  sshd[23332]: Failed password for root from 220.192.74.106 port 1660 ssh2
Jul 16 10:29:28  sshd[23336]: Failed password for root from 220.192.74.106 port 1661 ssh2
Jul 16 10:29:32  sshd[23338]: Failed password for root from 220.192.74.106 port 1662 ssh2
Jul 16 10:29:34 sshd[23339]: Failed password for root from 220.192.74.106 port 1663 ssh2
Jul 16 10:29:35  sshd[23342]: Failed password for root from 220.192.74.106 port 1664 ssh2
Jul 16 10:29:36  sshd[23344]: Failed password for root from 220.192.74.106 port 1665 ssh2
Jul 16 10:29:41  sshd[23364]: Failed password for root from 220.192.74.106 port 1666 ssh2
Jul 16 10:29:43  sshd[23366]: Failed password for root from 220.192.74.106 port 1667 ssh2
Jul 16 10:29:47  sshd[23368]: Failed password for root from 220.192.74.106 port 1668 ssh2
Jul 16 10:29:47  sshd[23370]: Failed password for root from 220.192.74.106 port 1669 ssh2
Jul 16 10:29:48  sshd[23372]: Failed password for root from 220.192.74.106 port 1670 ssh2
Jul 16 10:29:54  sshd[23383]: Failed password for root from 220.192.74.106 port 1671 ssh2

这类攻击我想有不少人都碰到过把，面对这样的攻击，通常的办法就是改SSH端口，但这起不了太多作用，攻击者在攻击前当然会先扫描端口。当然还可以有其他的办法见[url]http://www.chinaunix.net/jh/29/579591.html[/url] ，我看了这篇文章的这些个方法，觉得还是不安全，因为：理论上任何长度的密码都是可以被猜出来的 :w[/url] 。所以，好的密码就算能抵挡这次进攻，并不代表能抵挡住下次进攻。写脚本？实现太复杂。

最近研究了一简单的办法能抵挡root密码攻击，这个方法简单到白痴都能搞懂:D ，至于效果，几乎可以肯定年能100%抵御root密码进攻。呵呵，先卖个关子，看大家对这个问题感兴趣不？如果感兴趣的话，我自然会公布这个研究成果？

Roc.Ken 发表于 2007-5-11 16:06

一般是不允许root远程登录, 普通用户的来源IP也可以在sshd中限制.

bwb 发表于 2007-5-11 21:25

[QUOTE=Roc.Ken;575136]一般是不允许root远程登录, 普通用户的来源IP也可以在sshd中限制.[/QUOTE]正解！;)

tree2008 发表于 2007-5-12 10:29

[QUOTE=Roc.Ken;575136]一般是不允许root远程登录, 普通用户的来源IP也可以在sshd中限制.[/QUOTE]

首先,从系统管理的角度来说,没有"一般不允许",只有允许和不允许,实际上,我们都是用root直接 ssh登录到服务器完成管理工作的. 其次,"普通用户的来源IP也可以在sshd中限制"无法实现,因为通常管理工作站都使用动态IP,怎能限制IP,再考虑紧急情况,需要在任何能上网的地方拿出自己的笔记本接上网络来连服务器解决问题,这时候的IP也是动态的,所以实际上根本没人在SSH中限制IP

Roc.Ken 发表于 2007-5-12 14:13

一般不允许的例外情况是远程的多台主机有内网互联时为方便维护时允许root从内网直接登录, 相应的sshd_config中的配置为:
AllowUsers root@192.168
允许root直接登录是不明智的做法.

另外,并不是所有的人都用ADSL的DHCP, 当公司有固定的出口IP时,可以考虑使用,
国内的网通/电信的接入服务中动态分配的IP段也可以查到, 允许这些网段访问要比允许所有IP访问安全系数高的多!

tree2008 发表于 2007-5-14 21:01

　　问个问题：如果我告诉密码攻击者我的root密码是８位长度，包括大写字母、小写字母、数字和特殊字符。我允许攻击者来猜我的密码无限次数，那么按照上边第一帖的密码猜测攻击方法和速度来猜测我的密码，理论上最长需要多少时间？（即猜测所有的密码组合所需要的时间）
　　哪位高手能解答一下？

zhuomingliang 发表于 2007-5-14 21:06

[QUOTE]如果我告诉密码攻击者我的root密码是８位数[/QUOTE]
那说明你的机器是个考试机器，就象黑客基地那样的。想一想，美国有没有公开告诉全世界自己的数据库密码是几位的？

tree2008 发表于 2007-5-15 09:30

[QUOTE=zhuomingliang;575355]那说明你的机器是个考试机器，就象黑客基地那样的。想一想，美国有没有公开告诉全世界自己的数据库密码是几位的？[/QUOTE]

没错，我的密码就算告诉你是8位，那你能算出来么？显然理论上绝对可以猜出来，但问题是猜出来要多少时间的问题，按第1贴的密码猜测速度算。据说这里高手如云啊，怎么连怎么简单而重要的问题都没人正面回答，就想这样忽悠我？:D

Roc.Ken 发表于 2007-5-15 10:26

楼上,如果你喜欢别人猜的你的密码为什么不设置的更短些?
你想说的大概是用密钥认证吧? 或者你已经hack了openssh/openssl的代码做了惊天地泣鬼神的改动?

Roc.Ken 发表于 2007-5-15 10:39

你应该清楚:
做为internet的基础应用, ssh已经是非常成熟协议, 相关的软件版本也已经到4.7.*, 1.9.*
如果现在还被这些常规攻击困扰, 只能说明管理员无能

willing 发表于 2007-5-15 19:45

如果密码猜测用硬猜的话，告诉密码长度与不告诉密码长度，破解时间是可以减半的，密码每加长一位，破解时间要加一倍。
破解时间要依计算机的速度来计算，如果计算机比较好的，时间就比较短，差的要长一点。运算量与速度比。

tree2008 发表于 2007-5-15 23:19

[QUOTE=Roc.Ken;575383]你应该清楚:
做为internet的基础应用, ssh已经是非常成熟协议, 相关的软件版本也已经到4.7.*, 1.9.*
如果现在还被这些常规攻击困扰, 只能说明管理员无能[/QUOTE]

猜测攻击理论是这样的：你系统肯定有root超级用户，root肯定有个密码，而且允许root通过ssh远程登录，允许无限次数密码错误，所以无论ssh版本４．９还是１０．９也好，从理论上说都是可以被猜出来的，只是被猜出来需要多少时间的问题．
８位已经是ＵＮＩＸ要求的很短的密码长度了，问题是这样的密码经得起猜测么？:w

tree2008 发表于 2007-5-15 23:23

[QUOTE=willing;575412]如果密码猜测用硬猜的话，告诉密码长度与不告诉密码长度，破解时间是可以减半的，密码每加长一位，破解时间要加一倍。
破解时间要依计算机的速度来计算，如果计算机比较好的，时间就比较短，差的要长一点。运算量与速度比。[/QUOTE]

大哥，如果我的服务器的应答猜测的速度如第１一贴
Jul 16 10:29:24 sshd[23332]: Failed password for root from 220.192.74.106 port 1660 ssh2
Jul 16 10:29:28 sshd[23336]: Failed password for root from 220.192.74.106 port 1661 ssh2
Jul 16 10:29:32 sshd[23338]: Failed password for root from 220.192.74.106 port 1662 ssh2
Jul 16 10:29:34 sshd[23339]: Failed password for root from 220.192.74.106 port 1663 ssh2
Jul 16 10:29:35 sshd[23342]: Failed password for root from 220.192.74.106 port 1664 ssh2
Jul 16 10:29:36 sshd[23344]: Failed password for root from 220.192.74.106 port 1665 ssh2
Jul 16 10:29:41 sshd[23364]: Failed password for root from 220.192.74.106 port 1666 ssh2
Jul 16 10:29:43 sshd[23366]: Failed password for root from 220.192.74.106 port 1667 ssh2
Jul 16 10:29:47 sshd[23368]: Failed password for root from 220.192.74.106 port 1668 ssh2
Jul 16 10:29:47 sshd[23370]: Failed password for root from 220.192.74.106 port 1669 ssh2
Jul 16 10:29:48 sshd[23372]: Failed password for root from 220.192.74.106 port 1670 ssh2
Jul 16 10:29:54 sshd[23383]: Failed password for root from 220.192.74.106 port 1671 ssh2

也就是说１２次／３０秒，即２４次／分钟，按此速度来推算，我的８位密码需要多久能被猜出来，麻烦大哥帮我算一下:eek:

Roc.Ken 发表于 2007-5-15 23:29

[QUOTE=tree2008;575438]猜测攻击理论是这样的：你系统肯定有root超级用户，root肯定有个密码，而且允许root通过ssh远程登录，允许无限次数密码错误，所以无论ssh版本４．９还是１０．９也好，从理论上说都是可以被猜出来的，只是被猜出来需要多少时间的问题．
８位已经是ＵＮＩＸ要求的很短的密码长度了，问题是这样的密码经得起猜测么？:w[/QUOTE]
这个也和个人习惯有关, 如果有安全意识,密码的复杂度就很高了, 比如如果管理员使用了 * & 1  A a 这样的字符, 8位的密码可能组合有
10+10+26+26+4=76
对应为(!@#$%^&*() 1234567890  A-Z a-z `~_+)
76**7+76**6+76**5+..76  大约为 15 000 000 000 000
按照1s一次的速度大概需要 474347 年

Roc.Ken 发表于 2007-5-15 23:33

如果限于数字 1157 天可以穷举所有可能的8位组合.

$ echo 99999999 / 3600 / 24 | bc -l
1157.407

zhuomingliang 发表于 2007-5-16 08:41

linux 可以使用shell通过日志来获得登录失败次数，然后封ip 一天，甚至可以全自动更改新的用户名，并删除旧的用户名。

在ubuntu 下，root 默认是禁止以任何方式登录的，包括本地。

tree2008 发表于 2007-5-18 16:50

我想正确的算法应该是这样：
一个8位长度的密码包括数字，大写，小写，特殊字符的组合数为：
0123456789 ：  10
A-Z                ：  26
a-z                ：  26
`~!@#$%^&*()-_+=[{]}\|;:'",<.>/?                : 33个（注意空格也包括在内）

也就是说：1）总共可以做为密码的字符共10+26+26+33=95个
      2）8位长度的密码的总共可能的组合数：95的8次方=6.6342*10的15次方
      3）按照1次/秒的猜测速度来猜8位长度的密码需要的最长时间为：
            6.6342E+15/（60*60*24*365）=210369238.7年

结论是：穷举法猜1个8位长度的密码最长需要2亿1千万年以上的时间。我想等到黄花菜都凉了N
         次也还没猜到把。
      但前提是：我们要让自己的密码包括大小写、字母、数字和特殊字符；并且密码对于猜测
      者来说要是无序的。

zhuomingliang 发表于 2007-5-20 17:09

不知道你是说算法还是密码复杂度？说说描述？

dajian0509 发表于 2007-5-21 17:43

看来在linux还是学点东西还安全了！

fedora_1283 发表于 2007-5-25 11:37

不要告诉我你研究的＂白痴都能搞懂＂的方法就是：
增加密码长度，并且提高密码的复杂度．:rolleyes:

页: [1] 2

Linux伊甸园论坛's Archiver

绝杀root密码攻击——本人最近研究