Classification Attaques SSH de type “Brute Force”

Encadrants : 

Occurrences : 

2013

Nombre d'étudiants minimum: 

2

Nombre d'étudiants maximum: 

4

Nombre d'instances : 

2

Domaines: 

Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de connexion. Par la suite, tous les segments TCP sont authentifiés et chiffrés. Il devient donc impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur.

SSH permet d’accéder à nos serveurs à distance, de transférer des fichiers entre autres choses. Finalement la grosse faiblesse de SSH reste la même que pour bien des protocoles et service en vigueur dans les réseaux: le couple login/mot de passe. Sous Linux le SSH est souvent activé pour l’utilisateur « root » qui est le super-administrateur de la machine locale.

Les attaques par bruteforce SSH existent depuis des années. Il s'agit tout simplement pour un attaquant de trouver un serveur SSH à attaquer (souvent par un scan de plages complètes d'adresses IP) et d'essayer d'obtenir un accès SSH. Pour cela, l'attaquant tente de trouver un identifiant et un mot de passe valide.

Ce type d'attaque laisse d'énormes traces dans les logs. On y voit clairement des tentatives de connexion avec des noms d'utilisateurs bien connus (guest, root, etc.) ou sortis d'une liste (alex, mike, etc.). De nombreuses tentatives infructueuses sont ainsi constatées, l'attaquant essayant souvent plusieurs dizaines de mots de passe courants (toto, frodo, starwars, barneystinson etc.).

L'objectif du projet est d'analyser les traces contenant la liste des tentatives d'intrusion. Le résultat attendu sera en terme de statistiques pertinentes sur la densité des attaques, le vecteur, la distribution géographique.