一台海关CA认证服务器,开放远程桌面给外部厂商维护使用.
已在firewall上做了nat,使用了一个不常用的端口转换掉3389,但还是没有逃过被外网攻击,日常巡检中发现大量3389的登录失败,Event ID 4625,最重要的来源地址及端口全是空的.
- 安装wireshark
- 抓包看攻击来源
- 确认为从外网进来
- 改掉外网端口,世界清静了.
小结:
Firewall 的入侵检测功能待确认
外网攻击一般会利用僵尸网络,封来源IP的方法收效不大,不断会有新IP进来
Firewall 的防端口扫描阈值需要确认