[发明专利]一种防止ssh破解的方法及系统

说明书

技术领域

本发明涉及计算机安全防御技术领域，具体地说是一种防止ssh破解的方法及系统。

背景技术

ssh作为linux(unix)操作系统最常用的远程服务之一，一直是被暴力破解的对象，骇客使用的ssh暴力破解工具有很多，其中很有名就有hydra(github库见https://github.com/vanhauser-thc/thc-hydra)，网上泄露的字典也有非常多，从理论上讲，只要字典最够多，就总有一天可以破解任何的未加防范的ssh服务。ssh暴力攻击方法非常简单有效，服务器存在极大的安全隐患，特别是弱密码的服务器。

目前，骇客使用用户名字典，暴力破解常用其他用户的密码，防护不够彻底。修改默认22端口：骇客可以使用nmap等扫描攻击，很容易扫描出服务器真实端口，几乎没有任何作用。或者，当骇客发现无法连接服务器时，可以切换别的ip地址，继续暴力攻击，防护有一定效果，但是不够彻底。

发明内容

本发明的目的在于提供一种防止ssh破解的方法及系统，用于解决的目前服务器ssh防护不彻底、存在安全隐患的问题。

本发明解决其技术问题所采取的技术方案是：一种防止ssh破解的方法，具体包括以下步骤：

ssh蜜罐系统记录黑名单中的IP；

核查该IP的所有密码，判断与本机的密码是否一致；如果一致，则立刻更改密码。

进一步地，所述黑名单中IP的加入具体包括：当收到同一IP地址连续输入多次错误密码后，将该IP加入到黑名单中。

进一步地，还包括防火墙的配置，其具体步骤包括：限制22端口60秒内每个IP只能发起10个新连接，如果超过该限制，则记录日记及丢失数据包，防止CC及非伪造IP的syn flood。

进一步地，还需配置ssh蜜罐系统，其具体包括以下步骤：定义处理ssh请求的类；

开启端口2222监听。

进一步地，定义处理ssh请求的类具体包括：将IP地址和密码保存到攻击者字典数据库中。

一种防止ssh破解的系统，包括ssh蜜罐系统，用于存储攻击者的IP地址和密码；和，

核查模块，用于核查存储的密码与本机的真正密码是否相同，并产生核查结果；和，

执行模块，用于接收核查模块发送的核查结果，并根据核查结果做出相应的操作。

进一步地，还包括防火墙模块，限制22端口60秒内每个IP只能发起10个新连接，用于防止CC及非伪造IP的syn flood。

进一步地，所述的执行模块做出的相应操作包括更改本机密码或无操作。

以上发明内容提供的仅仅是本发明实施例的表述，而不是发明本身。

发明内容中提供的效果仅仅是实施例的效果，而不是发明所有的全部效果，上述技术方案中的一个技术方案具有如下优点或有益效果：

本发明的一种技术方案在不修改现有ssh服务的前提下，可以通过添加一层ssh蜜罐系统，将骇客引导进入蜜罐系统，并记录骇客的密码字典和IP地址，根据骇客字典的变化进行判断，及时更新本机密码，使系统更加全。

附图说明

图1为本发明实施例的方法流程示意图；

图2为本发明实施例的系统模块连接示意图。

具体实施方式

为了能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

为了更清楚的理解本方案，以下是对现有技术的描述：

现有技术一：

禁止root用户访问；修改默认22端口。

现有技术一的缺点：禁止root用户访问：骇客使用用户名字典，暴力破解常用其他用户的密码，防护不够彻底。修改默认22端口：骇客可以使用nmap等扫描攻击，很容易扫描出服务器真实端口，几乎没有任何作用。

现有技术二：