해킹 시도를보고해야합니까?


12

소형 (Windows 기반) 서버를 실행하고 있습니다. 로그를 확인하면 암호 추측 해킹 시도가 꾸준히 진행됩니다. 이러한 시도를 소스 IP 주소의 소유자에게보고해야합니까, 아니면 오늘날 이러한 시도가 완전히 정상적인 것으로 간주되어 아무도 그들에 대해 아무 것도 신경 쓰지 않습니까?

답변:


15

답변은 귀하가 정보를 제공하려는 기관에 따라 크게 달라질 수 있지만, 일반적으로 귀하가해야한다고 생각합니다. 사실, 우리 조직의 남용 사서함을 모니터링하고 응답하는 것이 나의 주요 업무 중 하나이므로 긍정적으로 말할 수 있습니다. 다른 보안 조직의 구성원들과 동일한 대화를 나누었으며 그 대답은 크게 다음과 같이 구성되었습니다.

  • IP의 whois 정보가 비즈니스 또는 대학을 표시하는 경우보고하십시오.
  • IP의 whois 정보에 ISP가 표시되면 귀찮게하지 마십시오

물론 그러한 규칙 따르 라고 말하지는 않지만 보고 측면에서 잘못을 권장합니다. 일반적으로 많은 노력이 들지 않으며 상대방을 실제로 도울 수 있습니다 . 그들의 추론은 ISP가 종종 의미있는 행동을 취할 수있는 위치에 있지 않기 때문에 정보를 멀리 떨어 뜨릴 것이라는 것이 었습니다. 우리는이 문제를 적극적으로 추구 할 것이라고 말할 수 있습니다. 우리는 네트워크에서 해킹 된 머신이 확산되는 경향이 있기 때문에 감사하지 않습니다.

실제 요령은 보고서와 직원간에 일관성을 유지할 수 있도록 응답 및보고 절차를 공식화하는 것입니다. 최소한 다음을 원합니다.

  1. 공격 시스템의 IP 주소
  2. 이벤트 타임 스탬프 (시간대 포함)
  3. 최종 시스템의 IP 주소

당신이 팁 로그 샘플의 샘플을 포함시킬 수 있다면, 그것은 또한 유용 할 수 있습니다.

일반적으로 이러한 종류의 동작을 볼 때 가장 적합한 위치에 가장 적합한 범위의 방화벽 블록을 설치합니다. 적절한 정의는 어떤 일이 일어나고 있는지, 어떤 종류의 비즈니스에 있는지, 인프라가 어떻게 보이는지에 따라 크게 달라집니다. 호스트에서 단일 공격 IP를 차단하는 것에서부터 경계에있는 ASN을 라우팅하지 않는 것까지 다양합니다.


감사합니다-알아두면 좋습니다. 이러한 보고서를 자동화하는 데 도움이되는 배포하기 쉬운 도구가 있습니까? 보고하는 데 유용한 악용 종류 식별, 유용한 정보를 포함하여보고 할 사람 찾기, 반송되는 보고서 처리 등?
nealmcb

@Nealmcb-이 모든 것을 요약 할 수있는 값 비싼 IDS 시스템이 있습니다. Cisco MARS가하는 것을 보았습니다. 저렴하고 무료 옵션을 사용하면 쉽게 할 수 있지만 로그 세트가 작 으면 사용하기 쉬운 보고서를 제공하는 로그 스크래퍼를 작성할 수 있습니다.
mfinni

2

이것은 무차별 대입 공격이라고 알려진 암호 추측 공격입니다. 최선의 방어는 사용자 암호가 강력하도록하는 것입니다. 또 다른 해결책은 여러 번의 로그인 실패로 IP 주소를 잠그는 것입니다. 무차별 대입 공격은 멈추기가 어렵습니다.


2

lynxman이 말한대로 ISP의 학대 부서에 연락하여 알려주십시오. 방화벽과 서버 모두에서 해당 IP를 차단합니다. 두 번째로 그룹 정책 (AD가있는 경우)에서 시도 기반 잠금을 설정합니다. 귀하의 비밀번호가 강력하다면 걱정하지 않아도됩니다. 서버는 내가 배우기 위해 하루 종일 로그인을 시도합니다.


ISP에 연락하는 것은 내가 의미 한 바입니다 (중요한 일이없고 공격이 성공하지 못 했으므로 ISP에 연락하는 것이 내가 원하는 전부입니다) –해야합니까, 아니면 시간 낭비입니까?
Mormegil

@mormegil 그것은 내가 일반적으로 의존하지만 러시아 또는 옛 소비에트 국가의 국가라면 귀찮게하지 않습니다. 그들은 당신에게 경로를 중지 할 수 있습니다 그에게 당신에게서 트래픽을 중지합니다.
Jacob

1

불행히도 그것은 완전히 정상입니다. 대부분의 시도는 해킹 된 다른 서버를 통해 생성됩니다.

당신이 할 수있는 최선의 방법은 이러한 IP 주소에서 이러한 공격이 지속적으로 발생하고 서버가 해킹 당했다는 의심이있는 경우 해당 서버에서 악용 / 시스템 관리자에게 전자 메일을 보내 상황을 해결할 수 있다는 것입니다. 오버로드되고 수백 대를 유지 관리 할 때 서버를 추적합니다.

다른 경우에는 방화벽, 필터링 또는 무시하는 것이 좋습니다.


1

여기서 문제는 다양한 국가에서 가정 사용자의 PC이거나 동적 주소 지정 체계에있는 손상된 시스템에서 발생하는 것입니다.

즉, 기계의 소유자는 자신이 공격을 전달하고 있다는 사실을 알지 못하고 신경 쓰지 않습니다. 법이 실제로 신경 쓰지 않는 국가에있을 수 있으며 ISP는 신경 쓰지 않고 어떤 경우에도 원합니다 누가 해당 IP 주소를 사용하고 있는지 확인하기 위해 로그를 탐색하고 싶지 않습니다.

가장 좋은 계획은 Lynxman, Jacob 's 및 pack '의 조합입니다. 일반적으로이를 차단하지만 일반적인 범인이 있는지 확인하고 해당 ISP의 학대 부서에 통신문을 보내도록 스크립트를 설정하십시오.

그런 식으로 시간을 더 잘 사용하십시오.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.