我已设置了 Windows 2016 服务器以进行远程桌面访问,并安装了 RDPGuard 来阻止暴力攻击。这几天效果很好,RDPGuard 阻止了许多 IP 地址。
然而几天前我注意到 RDPGuard 跳过了一些登录尝试,因为源地址是服务器的 IP 地址。现在这种情况已经发展到每秒看到几次登录尝试,其中源地址是服务器的 IP,使用的登录名来自名称词典,例如 JOHN、CARMEN、LISA 等。偶尔也会有来自其他 IP 地址的尝试,但大多数尝试都使用本地 IP 地址。事件查看器显示的信息与 RDPGuard 相同,即本地 IP 作为源地址,因此这似乎不是 RDPGuard 的故障。
有人知道攻击者是如何欺骗我们服务器的 IP 的,以及如何防止这种情况发生吗?
答案1
问题解决了 - 我们也在使用 Ericom 的 AccessNow 产品,我们发现从这里登录失败的尝试会导致服务器 IP 地址成为源,因为原始 IP 不可用。这在我们之前使用 AccessNow 的服务器上没有发生过,所以可能是配置更改造成的。