管理しているサーバの内1台について、過去1年間に不正アクセスしてきたIPアドレスを国別に集計してみました。
以下で紹介した総当たり攻撃(辞書攻撃)を防ぐ sshguard で攻撃として検出された回数を集計しました。
SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果
メールサーバへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処
1年間の不正アクセスの回数は951回で、結果の上位10件は次のようになります。
| 国名 | 回数 | 割合(%) |
|---|---|---|
| 中華人民共和国 | 364 | 38 |
| アメリカ合衆国 | 150 | 16 |
| 日本 | 59 | 6 |
| モロッコ | 43 | 5 |
| 大韓民国 | 38 | 4 |
| ドイツ連邦共和国 | 28 | 3 |
| インド | 22 | 2 |
| ブラジル | 18 | 2 |
| 台湾 | 16 | 2 |
| イギリス | 14 | 1 |
中国が最も多く不正アクセスの40%近くを占めています。次いでアメリカで、この2カ国で不正アクセス数の半数以上を占めています。
辞書攻撃対策で sshguard が導入されていない場合は、攻撃がブロックされないので、更に回数が大幅に増加すると思われます。
また、以下で紹介したように接続を国内のみに限定すると、攻撃を大幅に減少出来ます。
今回の例では、日本国外からの不正なアクセス 94% を削減できます。
国外からの接続をファイアウォールでブロックすることで、ログに不要な記録が残らず、ログの可読性が高まり、異常を見つけやすくもなります。
iptables - 国内からの接続のみ許可して海外からの接続を遮断する
なお、今回の国別集計では、以下で紹介したスクリプトで接続元IPアドレスを国名に変換しました。
ログに記述されているIPアドレスの国名を出力するスクリプト
参考
SSH総当たり攻撃(辞書攻撃/ブルートフォースアタック)の対策とその効果
メールサーバへの総当たり攻撃(辞書攻撃/ブルートフォースアタック)への対処
iptables - 国内からの接続のみ許可して海外からの接続を遮断する
ログに記述されているIPアドレスの国名を出力するスクリプト
コメント
成る程