Serangan brute force SSH adalah teknik peretasan yang melibatkan percobaan berulang kali kombinasi nama pengguna dan kata sandi yang berbeda hingga penyerang mendapatkan akses ke server jarak jauh.
- Buka file konfigurasi rule local snort
gedit /etc/snort/rules/local.rules
- Tambahkan rule berikut ini lalu tekan tombol Save
alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"Possible SSH brute forcing!"; flags: S+; threshold: type both, track by_src, count 5, seconds 30; sid:1000007; rev: 1;)
- Jalankan snort
snort -A console -q -c /etc/snort/snort.conf -i enp0s3
- Brute force SSH dengan tool
hydra
dari sisi Attacker
hydra -l ubuntu -P /usr/share/seclists/Passwords/darkweb2017-top100.txt 192.168.100.12 ssh
- Hasil pemantauan snort