阻止远程桌面暴力破解
本文关键字:破解 桌面 程桌面 | 更新日期: 2023-09-27 17:51:23
我有一个服务器运行Windows XP SP3
, port 3389
打开用于远程桌面。
每天在security
日志文件中都有许多登录尝试错误的条目。我想写一个简单的程序来监视该端口上的传入连接,并在防火墙上添加一个条目来阻止这些暴力攻击。我发现了一个用C#
编写的程序,它读取日志文件并过滤错误的登录尝试:ID 529
。不幸的是,在Windows XP
中,日志文件不包含尝试的源IP。有没有办法找到这个IP
?
这并不能真正回答这个问题,但是您可以通过更改远程桌面端口来模糊系统。你有几个选择。
如果它在路由器后面,您可以更改从外部进入的端口,并且仍然使用正常端口3389将其重定向到您的系统。
如果您的系统直接连接到互联网,或者您只是想更改本地端口出于其他原因,您可以将RDP侦听端口更改为注册表中的其他端口。它应该在HKEY_LOCAL_MACHINE'System'CurrentControlSet'Control'TerminalServer' winstation中ns ' RDP-Tcp ' PortNumber .
关于RDP端口变化的信息http://support.microsoft.com/kb/306759
编辑:对于你最初的问题,你可以使用像wireshark这样的东西,并让它转储日志并通过你的c#应用程序读取它们。
您是否可以不仅允许白名单IP地址连接到远程桌面,然后您将完全控制谁将能够成功访问系统?这会使编写这个小应用程序变得没有必要吗?
白名单IPs
您可能希望创建自己的应用程序来监视与计算机的活动连接(您可以查看CodeProject文章了解如何做到这一点),然后将其与读取日志文件的程序结合使用。当程序在日志文件中找到匹配项时,它可以向防火墙添加规则。
听起来你正在寻找一个IDS或IPS系统,一些建议是
- https://github.com/jjxtra/Windows-IP-Ban-Service -免费和开源!
- http://rdpguard.com/-共享软件,但描述你的问题到tee。
- http://winsnort.com/- snort非常棒,但是要得到您想要的东西需要做一些复杂的配置。