ssh 暴力攻击 <-- 从中韩渔民海警对抗到网络对抗

2011年12月12日，两名韩国海洋警察特攻队员在黄海扣押“非法捕捞”的中国渔船时，被中国船员挥舞的玻璃碎片所刺，一名韩国海警左肋被捅，内脏破裂，最终不治身亡。另一名海警腹部受伤。除了现在正在愈演愈烈的中韩口水战之外，不见硝烟的网络站已经如火如荼了！

(原文链接 http://ddbiz.com/?p=102)自12日后，我的服务器出现了大量的ssh 暴力攻击，其中近1/3来自韩国。每个民族都有愤青，但人民总是被政治所利用。当然除了被当枪使的人，还有自愿做枪的猪头以及每天无所事事的蜡烛头。

让我们来跟踪一段时间来的遭受ssh暴力攻击的统计：

通过对 /var/log/secure的分析，提取所有的ip地址请求，语句如下：
 grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure | sort |uniq -c |sort +0 -1 -gr

这是当前的统计（只记录请求超过450次/日的数据）

这是11日前的统计：

还有更早期的一些数据......。

真是不查不知道，一查惊倒跳，除了来自韩国的攻击暴增外，我的机器每天单单是 sshd 的暴力攻击，就超过5万次，这得消耗我多少资源啊！
(可以从这里查询ip所属地 http://wq.apnic.net/apnic-bin/whois.pl/)

既然存在如此严重的攻击情况，需要考虑对这中类似的IP做屏蔽了。

针对请求失败来进行ip地址禁用的脚本有很多，不过用的最多的可能是denyhosts,一个python脚本，配置运行很简单：

1. 下载,当前的版本是 2.6
http://sourceforge.net/projects/denyhosts/files/latest/download

2. 安装配置
tar xzvf DenyHosts.tar.gz
cd DenyHosts-2.6
python setup.py install
cd /usr/share/denyhosts
cp daemon-control-dist daemon-control
chmod 700 daemon-control
ln -s /usr/share/denyhosts/daemon-control /etc/init.d/denyhosts  
chkconfig --add denyhosts #(实现开机自动执行)

配置很快捷，启用起来试试看吧