Bonjour.

Je dois réaliser un script  qui devra détecter une attaque par force brute sur une authentification SSH  et bloquer l'attaque par une règle de pare-feu. 

Est-ce quelqu'un a une idée sur le fonctionnement su script, et surtout sur le choix du langage?  Merci

-
Edité par RAVAN 13 février 2014 à 0:09:31

Python est tout indiqué car il est préinstallé sous debian (le système marche même grâce à lui) et possède un bon nombre de librairies pour l'écoute du réseau. (il faudra par contre, aller chercher loin dans des blogs d'ingénieurs réseaux ou des trucs du genre).

Autre chose : Pour contrer le hack, il faut le connaître. Tout Ingénieur en Sécurité Informatique sait pirater n'importe quoi.

Sinon, pour ton script, fait un service (daemon) qui surveille tout le temps ton réseau. Ensuite, s'il détecte un grand nombre de requête correspondant à un patron prédéfini qu'il saura reconnaître (par exemple : attaque par brute force), il déclenche le processus d'alerte.

cordialement,

Squix

-
Edité par Anonyme 9 janvier 2014 à 1:11:48

Si ce n'est pas un projet d'étude ou autre chose du même genre, je te dirai bien de laisser tomber cette solution de script.

Il est plus judicieux d'utiliser un IDS. Par exemple tu peux utiliser Snort et le coupler avec Guardian afin de couvrir un plus grands nombres de signature d'attaque

Merci beaucoup pour vos réponses!

ça m'a beaucoup aider.

Lord Casque Noir a écrit:

Il faudrait surveiller le log de sshd et détecter un nombre trop important de tentatives de connection échouant.

Voilà, juste installer fail2ban quoi