介绍

　　近几年，在一些网络日志中出现了大量的基于SSH的恶意登录的攻击记录。本文将利用蜜罐(honeypot)陷阱对这类攻击进行分析，最后，本文提供了一些关于如何防范这类攻击的建议。

　　蜜罐的使用方法研究

　　位于新西兰的Honeynet联盟的分支机构：新西兰Honeynet联盟，主要致力于通过蜜罐技术来研究黑客的行为，攻击方法以及他们所使用的工具，从而改善网络和计算机系统的安全。蜜罐本身也是计算机系统，但和其它的计算机系统不同的是蜜罐是专门用于引诱黑客进行攻击的计算机系统。蜜罐通过装扮成其它有价值的计算机系统来使黑客对其进行攻击，以使这些攻击记录保存下来。有了这些攻击记录，我们可以对其进行分析，也可利用蜜罐来保护真正的计算机系统不受到攻击，也就是说让黑客去攻击蜜罐计算机系统，而不是真正的计算机系统，这就相当于计算机系统“影子”。

　　为了研究发生在新西兰大学的网络攻击行为，我们已经在惠灵顿的维多利亚大学安装了一个蜜罐系统。这个蜜罐系统具有高度可交互性，这个系统在网络上就象其它正常的机器一样，黑客完全不会察觉他们所攻击的是蜜罐还是真正的计算机系统。我们可以通过这个蜜罐系统来监视所有从这个系统流出和流入的数据。另外，所有的系统事件都会被这个系统的日志所记录。

　　这个系统运行在一个标准的RedHat 9 Linux的SSH服务器上，而且这个服务器可以通过Internet访问到。SSH可以使用户以加密的方式登录到另外一台计算机上。在发现遭遇到SSH恶意登录攻击后，我们通过安装蜜罐系统来防止这一切。我们使用这个系统将所有登录的用户名和密码记录了下来。这个系统在2006-7-11上线，在2006-8-1日停止使用。在这22天中，蜜罐系统被攻击了多次。我们通过对黑客的攻击记录进行分析，并推荐了一些可以改善SSH安全性的解决方案。

    SSH恶意登录分析

　　我们在这部分将分析在7月11日至8月1日被蜜罐捕捉到的数据。这些数据完全来源于蜜罐的日志系统。这个日志系统截获了很多向服务器的登录请求信息，这其中包括日期、时间、IP地址、请求的结果（成功或失败）以及用于登录请求的帐户名和密码。下面是一个简单的登录请求日志。