我已经看到针对 unix 风格服务器讨论过同样的问题 - 例如这里每天发生数百次入侵尝试是正常的吗?
但我想知道是否有针对基于 Windows 的服务器的类似建议。我的服务器已将 RDP 开放到网络,有时我会收到太多登录请求,以至于机器实际上被 DOS 攻击了。我更改了端口号,这暂时有用,但现在我发现它们又回到了“新”端口。我还看到这些登录尝试来自许多源 IP,因此它是分布式的。
是否有服务或应用程序可以查看所有失败的登录并暂时禁止 IP?就像 win 的 fail2ban 一样?
答案1
如果可行的话,我强烈建议您放弃使用互联网直接 RDP。如果不行,请确保您已修补RDP 远程代码漏洞最近发现的。漏洞代码现在是 metasploit 的一部分,也是在野外可用。
更改端口没有多大帮助,因为 nmap 等工具可以轻松找到它。你可以更改端口,但不能更改指纹。
答案2
您有几种可用的选择。
- 缓解攻击点- 实现类似TS 网关这将使您的所有 RDP 流量都转到标准 SSL 端口 443。这将允许您关闭端口 3389 与外界的联系,从而减少(如果不是消除)您的暴力破解尝试。话虽如此,Mac RDP 客户端目前与 TS Gateway 不兼容,因此如果您有 Mac 连接,那么您可能运气不佳。
- 实施帐户锁定政策- 允许 5 次错误登录尝试,否则将锁定帐户。大多数暴力尝试都针对特定名称(我相信您能看出来),因此如果他们的帐户被锁定,他们就会停止尝试。偶尔您会看到一个机器人会尝试多个名称,但大多数机器人只会尝试一个特定名称(即所有者、root、test、besadmin 等)
- 你可以实施 VPN- 与 TS 网关类似的前提是,VPN 会将您的用户置于防火墙内,再次允许关闭端口 3389。这里需要注意的是,大多数系统管理员不希望未知的计算机连接到他们的 VPN,因此我只会在连接的计算机在您的控制之下时才实施此功能。
有第三方工具可以帮助您阻止暴力破解尝试,但正如您所见,没有它们也可以做到这一点。即使在我们建立 TS 网关之前,实施锁定策略也大大减少了我们在端口 3389 上看到的流量。
答案3
Evan anderson 开发了一款名为 ts_block 的工具来阻止终端服务/RDP 请求。此处有讨论,如何阻止对终端服务器(Win2008R2)的暴力攻击?
该工具本身可在此处获取https://github.com/EvanAnderson/ts_block
答案4
它是 2008 服务器吗?您可以启用 NLA(网络级别身份验证),这很有帮助,因为只有在凭证获得授权后才能建立会话。