先週末からうちのサーバがssh brute force attack を受けている．
ssh brute force 自体は日常的なことでとりたてて騒ぐことはないのだが，
今回はどうやらボットネットからの攻撃らしいということでしばらく観察してみた．

通常 ssh brute force は適当なユーザのリストから空パスワードなどを狙って総当りしてくる．
うちのサーバはそもそもRSAかDSAじゃないとログインできないし
しつこい奴は自動的にブラックリスト入りして全パケットがドロップされる．
今回の攻撃は約2分に1回で，攻撃としてはひどく緩慢．
しかし攻撃元のIPが毎回違う．
試行してくるユーザ名はちゃんとアルファベット順になっているし，
整然と約2分間隔で攻撃してくるのでたぶんボットネットだろう．
だいたい対brute force用の自動遮断機構は
「一定時間内に規定回数認証失敗したら遮断」という感じなので，
これなら通信遮断されにくいというわけだ．
対brute forceの自動遮断を仕込んでいるのに ssh に空パスワードとか
ぬるいパスワードで入れるようなちぐはぐなサーバがどのくらいあるのかは知らないが，
どちらかというと個々のサーバの防御機構というよりは
ISPなど上流の監視機構を意識した攻撃方法だろうか．
攻撃元は東欧・中南米中心の約600ノード．
まぁDHCPでIPが変わっている場合もあるだろうから端末数はもうちょっと少ないかも知れない．
jp が1個もなかったので，アジアのノード開発でもしてるんだろうか．
攻撃してきたノードを逆引きしてみたら，
mail とか smtp とか mx とか，メールサーバっぽいノードが結構多い．
いろんなところがやられていて興味深いんだが，
こういうのの一覧を公開したりすると怒られそうなのでやめておく．
1500回ぐらい攻撃して諦めたかと思ったら，辞書を変えてまた攻撃してきた．
ちょっと遊んでみようと自動遮断を厳しめにしてみたら，遮断ノード数が300を越えたあたりから
急速に攻撃間隔が広くなってきた．
たぶん攻撃に参加可能なノードの数が減ったからなんだろう．
現時点で400個ぐらい遮断しているんだが，現在の攻撃間隔は15分～20分ぐらいである．
それでもがんばって攻撃回数は現在3000回を超え，2冊目の辞書もそろそろ終わり．
3冊目には入るんだろうか．