Web Analytics
yangyang

码农兼一个普普通通小青年

RDP

28
APR

一个完整的阻止远程桌面登录攻击的程序

在大概一年多以前,我写了一个简单的通过程序判断和阻止来自特定IP地址的远程桌面连接攻击的程序,一直以来是作为一个简单的控制台程序来使用的,用起来效果很不错。最近我在自己的阿里云服务器上也发现了很多这种远程桌面登录连接的尝试,但这也没有办法,只要端口对外网暴露,就免不了会有这种攻击。于是我对之前的那个小程序做了一些调整和完善,主要改进了: 程序不一定要监控特定端口,只要在日志里查找到了类型ID为4625的错误日志,就认为是远程桌面连接登录。 当远程桌面登录失败尝试超过3次后,除了添加到防火墙之外,还记录该远程信息到日志,包括远程IP尝试登录时采用的用户名,IP归属地等信息。 平台使用最新的.NET 8.0来重写,程序可以作为控制台程序,或Windows Service 安装运行。 添加白名单机制,对于白名单里面的IP地址不做登录失败校验。 …

Dependency Injection Background services RDP netsh advfirewall NetFwTypeLib
03
JUN

通过程序判断和阻止来自特定IP地址的远程桌面连接攻击

由于工作原因,偶尔需要在家里远程连接到公司计算机上处理一些工作事宜。因为公司的电脑是在一个局域网内的,并没有对外暴露IP地址,所以一般的做法就是通过第三方软件比如TeamView、向日葵这类软件来提供支持,但这些第三方软件经常会爆发一些安全事件,且把电脑交给第三方软件其实也存在安全隐患。不使用第三方软件,通用的做法就是在路由器上将外网IP地址和特定的端口转发到特定内网IP地址的机器和端口上。这样通过外网IP地址和端口,就可以使用远程桌面的方式访问到内网的计算机,但在外网暴露特定端口是有风险的,尤其是对于远程桌面3369这样常用的端口,因为任何人都可以通过一些端口扫描工具进行连接,进而通过暴力的方式尝试登录。本文介绍了通过程序的方式自动监控这种RDP失败的登录,并在登录失败超过一定次数后,自动新建防火墙入站规则,并将疑似IP地址添加到规则中,从而防止来自这类IP地址的RDP攻击的进一步尝试。 …

RDP Block 3389
  • 1