SSH 스캔(접속시도) 공격 차단 룰 - recent 모듈 이용

계속 그래 왔지만 왠지 느낌이 요즘에 더 비번히 발생하는듯하네요.

하루도 안쉬고 들어오는 ssh 접근시도 머 얻어갈것도 없는 서버에 왜이리 접근을 하는지

디스크 공간만 잡아먹고 참 불필요한 행위가 서버로 계속시도 되고 있습니다.

ssh 스캔 공격을 막는 방법은 포트를 변경한다던지 여러가지 방법이 나와 있지요.

iptables의 recent 라는 모듈을 이용해 차단하는 방법입니다.

 

[iptables] SSH 스캔(접속시도) 공격 차단 룰 - recent 모듈 이용

----------------------------------------------------------------------------------------------
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set --name SSHSCAN
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSHSCAN -j LOG --log-prefix SSH_Scan:
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 10 --rttl --name SSHSCAN -j DROP
----------------------------------------------------------------------------------------------

위 룰에 필요한 입맛대로 수정 가능.

 

 

[출처] 365매니지드 (http://community.365managed.com/865)