У меня есть сервер под управлением Windows XP SP3
с port 3389
открытым для удаленного рабочего стола.
Каждый день в файле журнала security
появляется много записей с неправильной попыткой входа в систему. Я хотел бы написать простую программу, которая отслеживает входящие соединения на этом порту и добавляет запись в брандмауэр, чтобы блокировать эти атаки грубой силы. Я нашел программу, написанную на C#
, которая читает файл журнала и фильтрует попытки входа в систему Weargs: ID 529
. К сожалению, в Windows XP
файл журнала не содержит исходный IP-адрес попыток. Есть ли способ найти этот IP
?
Блокировать брутфорс удаленного рабочего стола
Ответы (4)
На самом деле это не дает ответа на этот вопрос, но вы можете немного скрыть систему, изменив порт удаленного рабочего стола. У вас есть несколько вариантов.
Если он находится за маршрутизатором, вы можете изменить порт, входящий извне, и по-прежнему перенаправлять его в свою систему с помощью обычного порта 3389.
Если ваша система напрямую подключена к Интернету или вы просто хотите изменить локальный порт по другим причинам, вы можете изменить порт прослушивания RDP на другой порт в реестре. Он должен находиться в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStatio ns\RDP-Tcp\PortNumber.
Информация об изменении порта RDP на странице http://support.microsoft.com/kb/306759.
редактировать: для вашего исходного вопроса вы можете использовать что-то вроде wireshark, и он выгрузит журналы и прочитает их через ваше приложение С#.
Не могли бы вы не только разрешить IP-адресам из белого списка подключаться к удаленному рабочему столу, но и получить полный контроль над тем, кто сможет успешно получить доступ к системе? Сделает ли это ненужным написание этого маленького приложения?
Возможно, вы захотите создать собственное приложение для мониторинга активных подключений к компьютеру (см. статья CodeProject о том, как это сделать), а затем объедините это с программой, которая читает файл журнала. Когда программа находит совпадение в файле журнала, она может добавить правило в брандмауэр.
Похоже, вы ищете систему IDS или IPS, некоторые предложения
- https://github.com/jjxtra/Windows-IP-Ban-Service - Бесплатно и с открытым исходным кодом!
- http://rdpguard.com/ — бесплатная программа, но описывает вашу проблему в мельчайших подробностях.
- http://winsnort.com/ - snort великолепен, но имеет несколько сложных конфигураций, чтобы получить именно то, что вы хотите.