通过程序判断和阻止来自特定IP地址的远程桌面连接攻击

由于工作原因，偶尔需要在家里远程连接到公司计算机上处理一些工作事宜。因为公司的电脑是在一个局域网内的，并没有对外暴露IP地址，所以一般的做法就是通过第三方软件比如TeamView、向日葵这类软件来提供支持，但这些第三方软件经常会爆发一些安全事件，且把电脑交给第三方软件其实也存在安全隐患。不使用第三方软件，通用的做法就是在路由器上将外网IP地址和特定的端口转发到特定内网IP地址的机器和端口上。这样通过外网IP地址和端口，就可以使用远程桌面的方式访问到内网的计算机，但在外网暴露特定端口是有风险的，尤其是对于远程桌面3369这样常用的端口，因为任何人都可以通过一些端口扫描工具进行连接，进而通过暴力的方式尝试登录。本文介绍了通过程序的方式自动监控这种RDP失败的登录，并在登录失败超过一定次数后，自动新建防火墙入站规则，并将疑似IP地址添加到规则中，从而防止来自这类IP地址的RDP攻击的进一步尝试。 …