Skip to main content
Fachgebiete
Automobil + Motoren Bauwesen + Immobilien Business IT + Informatik Elektrotechnik + Elektronik Energie + Nachhaltigkeit Finance + Banking Management + Führung Marketing + Vertrieb Maschinenbau + Werkstoffe Versicherung + Risiko
DE
EN
Bücher
Zeitschriften
Themenseiten
Organisationspsychologie Projektmanagement Marketing Smart Manufacturing
Weitere Formate
Podcasts Webinare Technik Webinare Wirtschaft Kongresse Veranstaltungskalender Awards
Jetzt Einzelzugang starten
Zugang für Unternehmen
Referenzkunden
SLX-Digitalkonferenz: Zukunftswerkstatt 2024

Mehr Umsatz mit Top-Kontakten

Am 7. Mai erfahren Sie, wie Vertriebsteams Leadgenerierung, Leadnurturing und Leadstrategien effizient steuern können.
Erweiterte Suche
Anmelden
nach oben
Erschienen in:
Expert Password Management Kapitel lesen Erstes Kapitel lesen

2016 | OriginalPaper | Buchkapitel

What Lies Beneath? Analyzing Automated SSH Bruteforce Attacks

verfasst von : AbdelRahman Abdou, David Barrera, Paul C. van Oorschot

Erschienen in: Technology and Practice of Passwords

Verlag: Springer International Publishing

Einloggen

Aktivieren Sie unsere intelligente Suche, um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Abstract

We report on what we believe to be the largest dataset (to date) of automated secure shell (SSH) bruteforce attacks. The dataset includes plaintext password guesses in addition to timing, source, and username details, which allows us to analyze attacker behaviour and dynamics (e.g., coordinated attacks and password dictionary sharing). Our methodology involves hosting six instrumented SSH servers in six cities. Over the course of a year, we recorded a total of \(\sim \)17M login attempts originating from 112 different countries and over 6 K distinct source IP addresses. We shed light on attacker behaviour, and based on our findings provide recommendations for SSH users and administrators.

Sie haben noch keine Lizenz? Dann Informieren Sie sich jetzt über unsere Produkte:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

Jetzt informieren

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

Jetzt informieren
Vorheriges Kapitel Verification Code Forwarding Attack (Short Paper)
Nächstes Kapitel Catena Variants
Anhänge
Nur mit Berechtigung zugänglich
Fußnoten
1
We used the http://​ipinfo.​io IP geolocation database [12] to obtain geographic location and Autonomous System (AS) information of these IP addresses.
 
2
Although a logged IP address may not necessarily belong to a user with deliberate malicious intent (e.g., it could be remotely exploited by a malicious third party) we refer to the IP as such for simplicity.
 
3
Attackers may guess only lowercase passwords more frequently in expectation that system administrators pick these types of passwords more often.
 
4
In Fig. 8, we show a similar heatmap for overlap between the largest 1000 per-IP dictionaries (i.e., passwords seen used by each IP).
 
5
We believe it is unlikely that all such highly overlapping dictionaries belong to a single attacker since many of their bruteforcing behaviors were different, e.g., timing dynamics, rate of attempts, etc. Even dictionary pairs with extreme overlap had different guessing order.
 
6
Attackers may be unwilling to change the password or patch the vulnerability used to compromise to avoid detection by the legitimate user of that system.
 
Literatur
1.
2.
3.
4.
Alsaleh, M., Mannan, M., van Oorschot, P.C.: Revisiting defenses against large-scale online password guessing attacks. IEEE Trans. Dependable, Secure Comput. (TDSC) 9(1), 128–141 (2012)CrossRef
5.
Bergadano, F., Crispo, B., Ruffo, G.: High dictionary compression for proactive password checking. ACM Trans. Inf. Syst. Secur. (TISSEC) 1(1), 3–25 (1998)CrossRef
6.
Bonneau, J., The science of guessing: Analyzing an anonymized corpus of 70 million passwords. In: IEEE Symposium on Security and Privacy (2012)
7.
8.
Durumeric, Z., Wustrow, E., Halderman, J.A.: ZMap: Fast Internet-wide scanning and its security applications. In: USENIX Security, August 2013
9.
Florencio, D., Herley, C., Coskun, B.: Accomplish, do strong web passwords anything? In: USENIX HotSec, pp. 10:1–10:6 (2007)
10.
Florencio, D., Herley, C., van Oorschot, P.C.: An administrators guide to internet password research. In: USENIX LISA (2014)
11.
Hofstede, R., Hendriks, L., Sperotto, A., Pras, A.: SSH compromise detection using NetFlow/IPFIX. ACM SIGCOMM CCR 44(5), 20–26 (2014)CrossRef
12.
13.
Javed, M., Paxson, V.: Detecting stealthy, distributed SSH brute-forcing. In: ACM CCS (2013)
14.
Owens, J., Matthews, J.: A study of passwords and methods used in brute-force SSH attacks. In: USENIX LEET (2008)
15.
Satoh, A., Nakamura, Y., Ikenaga, T.: Identifying user authentication methods on connections for SSH dictionary attack detection. In: IEEE Annual Computer Software and Applications Conference Workshops (COMPSACW) (2013)
16.
Sperotto, A., Sadre, R., de Boer, P.-T., Pras, A.: Hidden markov model modeling of SSH brute-force attacks. In: Bartolini, C., Gaspary, L.P. (eds.) DSOM 2009. LNCS, vol. 5841, pp. 164–176. Springer, Heidelberg (2009)CrossRef
17.
Thames, J.L., Abler, R., Keeling, D.: A distributed active response architecture for preventing SSH dictionary attacks. In: IEEE Southeastcon, pp. 84–89 (2008)
18.
Ylonen, T.: SSH - Secure login connections over the internet. In: USENIX Security (1996)
Metadaten
Titel
What Lies Beneath? Analyzing Automated SSH Bruteforce Attacks
verfasst von
AbdelRahman Abdou
David Barrera
Paul C. van Oorschot
Copyright-Jahr
2016
Verlag
Springer International Publishing
Buch
Technology and Practice of Passwords

Print ISBN: 978-3-319-29937-2

Electronic ISBN: 978-3-319-29938-9

Copyright-Jahr: 2016

DOI
https://doi.org/10.1007/978-3-319-29938-9_6