Wireshark로 SSH 트래픽을 확인하여 공격이 있는지 확인하는 방법

오늘날, 모든 유형의 네트워크는보다 강력한 제어 및 보안 조치 구현을 요구합니다. 사례에 따라 가장 기초적인 것부터 가장 정교한 것까지. 이번에는 인기에 대해 이야기하겠습니다 와이어 샤크 도구와 SSH 프로토콜 . 후자는 다른 컴퓨터에 대한 원격 액세스를 지원하여 해당 컴퓨터에서 생성 된 모든 트래픽의 암호화를 보장하는 해당 네트워크에서 트래픽의 주인공 중 하나입니다. 이 트래픽 암호화 프로토콜이 네트워크에 큰 문제가되는 것을 방지하는 방법을 알려드립니다.

SSH 프로토콜은 무엇입니까?

SSH의 약어는 Secure Shell에 응답합니다. 인증 된 방식으로 컴퓨터에 원격으로 액세스 할 수 있도록 설계되었습니다. 이전 모델 인 Telnet과 유사하여 사용자가 명령 줄을 통해 해당 컴퓨터 나 컴퓨터에 원격으로 액세스 할 수 있습니다. 그러나 SSH와 Telnet을 구별하는 가장 중요한 것은 모든 세션 트래픽이 100 % 암호화된다는 것입니다.

네트워크 트래픽

다른 컴퓨터, 스위치, 라우터, 서버 또는 호스트와 통신해야하는 경우 SSH 프로토콜을 사용하는 것이 좋습니다. SSH 서버의 포트로 변경할 수 있지만 포트 번호는 22 TCP입니다.

이 프로토콜을 구현하는 가장 많이 사용되는 응용 프로그램은 다음과 같습니다. 퍼티WinSCP를 . 둘 다 호환됩니다 Windows 운영 체제. 반면에 OpenSSH를 OpenBSD에서 사용할 수 있습니다. Linux, Solaris, FreeBSD, AIX 및 기타.

Wireshark : 네트워크 분석 전문가

가장 인기 있고 권장되는 네트워크 프로토콜 분석 응용 프로그램 중 하나입니다. 그것은 당신이 할 수 있습니다 완전한 통제 매우 상세한 수준으로 연결된 네트워크에서 발생하는 상황에 대해 개인 환경과 회사 환경 모두에서 사용할 수 있습니다. 다양한 교육 기관과 정부 기관에서도이 도구를 무료로 이용할 수 있습니다.

이 솔루션은 1998 년부터 존재하는 솔루션으로, 전 세계 전문가의 기여 덕분에이 솔루션을 사용하려는 모든 사람이 사용할 수 있습니다. 네트워크에서 발생하는 상황과 더 안전한 성능을 적용하기 위해 어떤 보안 정책 또는 조치를 분석 할 때 매우 실용적입니다.

Wireshark로 무엇을 할 수 있습니까? 공식 사이트의 문서에 따르면 수행 할 수있는 활동 중 일부를 인용합니다. 의심스러운 경우 문서 및 지원이있는 자신의 사이트를 확인할 수 있습니다.

  • 심층 프로토콜 검사
  • 추가 분석을 위해 당시 정보 수집
  • VoIP 분석
  • tcpdump, Microsoft Network Monitor, NetScreen snoop 등과 같은 정보 캡처 파일을 읽고 수정할 수 있습니다.
  • 이더넷, 블루투스, USB, IEEE 802-11 (Wi-Fi), 프레임 릴레이 등의 프로토콜 정보를 실시간으로 볼 수 있습니다.
  • XML, PostScript, CSV 및 일반 텍스트 형식으로 정보 내보내기

Wireshark를 사용할 수있는 가장 흥미롭고 중요한 용도 중 하나는 다음과 관련된 사고 대응입니다. SSH 트래픽 . 이 프로토콜은 특히 기본적으로 사용되는 암호화에 매우 강력한 프로토콜입니다. 원격 액세스가 가능하며 SSH 서버 기능이 활성화 된 모든 장치로 암호화됩니다.

수행 할 수 있습니다 자격 증명 스 퍼핑 공격, 실행중인 컴퓨터 검색 취약한 SSH 서버 설정 역 포탄 . 아래 처음 두 가지를 강조하겠습니다.

자격 증명 스 퍼핑 공격

SSH에는 사용자 인증이 필요하다는 점을 고려하여 SSH 서버를 실행하는 시스템에 액세스하는 공격자는 큰 문제없이이 유형의 공격을 수행 할 수 있습니다. 그러나 다른 자격 증명의 암호는 어떻습니까? 안타깝게도 대부분의 사람들은 추측하기 쉬운 암호를 사용하는 경향이 있으며 모든 계정에 항상 같은 암호를 선택합니다. 이것은 대부분의 경우 자격 증명 스터핑 공격이 완전히 눈에 띄지 않게합니다.

좋은 것부터 처음까지 SSH를 통한 액세스 시도를 Wireshark의 실패한 시도와 성공적으로 구별하는 것은 쉽지 않습니다. 그러나 어떤 레코드가 성공했는지 밝히는 데 도움이되는 몇 가지 기능이 있습니다.

  • 세션의 흐름 길이 : 성공적인 SSH 세션 인 경우 실패한 세션보다 길어집니다.
  • 패키지 크기 : SSH 서버가 인증 성공 또는 실패에 대한 응답을 설정했습니다. SSH 패킷의 크기를 관찰하고 더 큰 패킷이 성공적인 세션을 구성한다고 추론 할 수 있습니다.
  • 패키지 시간 : 인증에 성공한 경우 사용자 상호 작용이 필요한 패키지는 자동화 된 패키지보다 더 많은 시간이 필요합니다. 후자는 인증 실패로 인해 수명이 짧은 패킷을 말합니다.

또한 로그인 시도 횟수를 확인하는 것이 좋습니다. 불규칙한 숫자가 표시되면 자격 증명 스 퍼핑 공격의 대상이 될 가능성이 있기 때문입니다.

원격 액세스 스캔

사물 인터넷 (IoT)과 같은 새로운 기술의 등장으로 발생하는 가장 큰 단점과 위험 중 하나는 장치가 SSH 사용 직감적으로. 일반적으로 관련 시스템은 일반적으로 자격 증명을 기본적으로 사용하거나 약간만 수정합니다. 이것이 왜 위험합니까? 해당 암호에 대해 알고 있거나 사용자 및 암호를 추측 할 수있는 사람은 누구나 원격으로 시스템에 액세스 할 수 있습니다.

맞습니다. SSH조차도 특정 보안 허점에 의존 할 수 있습니다. 그러나 안전하지 않은 SSH 서버로 작동하는 이러한 시스템을 제어 할 수 있습니다. 합법적 인 SSH 요청 및 트래픽은 내부 네트워크 자체에서 시작되어야한다는 것을 알고 있습니다. 따라서 신뢰할 수있는 IP 주소입니다.

외부 IP 주소에서 들어오는 것 외에도 Wireshark 요청 및 내부 SSH 트래픽을 필터링하면 의심스러운 상황을 식별하는 데 도움이됩니다. 대부분의 경우 알 수없는 IP 주소에서 내부 네트워크로의 SSH 트래픽이 네트워크가 손상되었음을 알 수 있습니다.

후자는 모든 것이 올 수 있다는 것을 정확하게 의미하지는 않습니다. 네트워크 외부 의심 스럽거나 위험합니다. 공격자가 시스템에 원격으로 액세스하면 SSH는 다른 유형의 공격을 수행하고 다른 시스템으로 빠르게 확장하여 원하는 경우 한 번에 두 번 이상의 공격을 수행하는 이상적인 동맹이됩니다. 이것을 어떻게 감지 할 수 있습니까? Wireshark를 사용하면 모든 SSH 트래픽을 분석하여 일반적인 액세스 패턴과 비정상적인 액세스 패턴을 모두 설정할 수 있습니다. 특이한 패턴 사례는 단일 시스템에서 높은 트래픽이 발생했다는 증거가있을 수 있습니다. 비정상적인 패턴의 또 다른 경우는 머신이 다른 시스템에 정상적으로 요청하지 않는 경우 일 수 있습니다.

로컬 네트워크 수준과 회사 네트워크 수준 모두에서 SSH는 훌륭한 동맹국이 될 수 있으며 결국 큰 적이 될 수 있습니다. 회사 네트워크를 관리 할 책임이있는 경우 매우 면밀한 모니터링과 특수한 제어가 가능합니다. 네트워크에서 SSH 트래픽을 제어 및 차단하는 것도 좋은 아이디어로 판명 될뿐만 아니라 네트워크 내에서 발생하는 통신 및 일반 트래픽을 모니터링하여 이상이 없는지 확인해야합니다.

전체 자습서를 읽는 것이 좋습니다. SSH 서버를 구성하는 방법 최대한의 보안.