使用 Fail Ban 日志分析 SSH 攻击行为

通过分析 `fail2ban` 日志可以识别和应对SSH暴力破解等攻击行为。以下是详细的操作流程和关键分析方法：

---

### **一、Fail2ban 日志位置**

Fail2ban的日志路径因系统配置而异，常见位置包括：

```bash

/var/log/fail2ban.log # 主日志文件

/var/log/fail2ban.log.1 # 归档日志（如已轮转）

journalctl -u fail2ban -f # 通过systemd查看实时日志（Linux）

```

---

### **二、关键日志分析场景**

#### **1. 识别高频攻击IP**

通过统计被Ban的IP及其频率：

```bash

sudo grep "Ban " /var/log/fail2ban.log | awk '{print $NF}' | sort | uniq -c | sort -n

```

输出示例：

```

12 45.33.18.119

23 185.142.239.16

```

- **解读**：IP `185.142.239.16` 被Ban了23次，可能是持续攻击源。

#### **2. 分析攻击时间规律**

提取攻击发生的时间段：

```bash

sudo grep "Ban " /var/log/fail2ban.log | awk '{print $1,$2}' | uniq -c

```

输出示例：

```

5 2024-01-01 03:00

8 2024-01-01 06:00

```

- **解读**：攻击集中在凌晨时段，可针对性加强监控。

#### **3. 检查攻击手法**

查看触发Ban的SSH失败日志（需结合`/var/log/auth.log`）：

```bash

sudo grep "Failed password" /var/log/auth.log | grep "from=<被Ban的IP>"

```

输出示例：

```

Jan 1 03:00:01 sshd[1234]: Failed password for root from 45.33.18.119 port 22 ssh2

Jan 1 03:00:03 sshd[1235]: Failed password for root from 45.33.18.119 port 22 ssh2

```

- **解读**：攻击者针对`root`账户进行暴力破解。

#### **4. 确认封禁有效性**

检查IP是否被正确加入防火墙规则：

```bash

sudo iptables -L -n | grep 45.33.18.119 # Linux

sudo fail2ban-client status sshd # 查看当前被封禁的IP

```

---

### **三、高级分析工具**

#### **1. 使用 `fail2ban-client` 实时监控**

```bash

sudo fail2ban-client status sshd # 查看sshd监狱状态

sudo fail2ban-client get sshd banip # 列出所有被封禁IP

```

#### **2. 可视化分析（ELK Stack）**

将日志导入Elasticsearch + Kibana，生成可视化报表：

- 攻击IP地理分布

- 攻击频率趋势图

#### **3. 自定义日志分析脚本**

统计TOP 10攻击IP及其尝试次数：

```bash

sudo awk '/Failed password/{print $11}' /var/log/auth.log | sort | uniq -c | sort -nr | head -10

```

---

### **四、安全加固建议**

#### **1. 调整Fail2ban配置**

编辑 `/etc/fail2ban/jail.local`：

```ini

[sshd]

enabled = true

maxretry = 3 # 3次失败后封禁

bantime = 1d # 封禁1天（默认10分钟）

findtime = 1h # 1小时内触发规则

ignoreip = 192.168.1.0/24 # 忽略内网IP

```

#### **2. 替换默认SSH端口**

修改 `/etc/ssh/sshd_config`：

```ini

Port 2222 # 改用非标准端口

PermitRootLogin no # 禁止root直接登录

PasswordAuthentication no # 强制使用密钥认证

```

重启SSH服务：

```bash

sudo systemctl restart sshd

```

#### **3. 联动防火墙增强防护**

自动封禁攻击IP到防火墙（示例配置）：

```ini

[sshd]

banaction = iptables-multiport

banaction_allports = iptables-allports # 封禁所有端口

```

#### **4. 启用多因素认证（MFA）**

- 使用Google Authenticator或TOTP增强SSH登录安全。

---

### **五、自动化响应脚本**

自动提取攻击IP并添加到防火墙黑名单：

```bash

#!/bin/bash

# 提取过去1小时被Ban的IP并永久封禁

grep "$(date -d '1 hour ago' +'%Y-%m-%d %H')" /var/log/fail2ban.log | grep "Ban " | awk '{print $NF}' | while read IP; do

iptables -A INPUT -s $IP -j DROP

echo "[$(date)] Banned $IP permanently" >> /var/log/ip_blacklist.log

done

```

---

### **六、总结流程图**

```

收集日志 → 分析高频IP → 确认攻击手法 → 调整封禁策略 → 加固SSH配置 → 自动化防御

```

通过持续监控和分析Fail2ban日志，可以显著提升服务器对抗SSH暴力破解的能力。对于高价值目标，建议结合网络层防火墙（如Cloudflare）和入侵检测系统（OSSEC）形成多层防御。