什么是暴力攻击?
暴力攻击是一种黑客技术,涉及尝试许多不同的密码以最终正确猜出正确的密码。
任何暴力攻击的第一步都是选择目标。因此,黑客首先扫描网络,寻找开放端口,然后尝试猜测密码。如果他们猜对了密码,他们就会尝试登录。一旦登录,他们就完全控制了网络。
暴力攻击针对系统,使用大量数据同时发送,向目标服务器或服务发送请求或无用信息。这些攻击用于压垮服务器和网络设备。
这些攻击通常是自动化的,这意味着它们无需人工输入;这些攻击通常被称为“黑客攻击”。
如何识别暴力攻击?
一些表明暴力攻击的行为,例如 –
- 重复登录尝试:短时间内多次登录失败表明存在暴力攻击。
- 高资源使用率:暴力攻击可能会导致目标服务器的 CPU 或内存使用率过高,因为它正在尝试处理许多登录尝试。
- 异常的网络流量:暴力攻击会产生大量的传入流量,可以通过监控网络流量模式检测到。
- 可疑 IP 地址:可以检查日志中是否存在反复尝试连接服务器的可疑 IP 地址。
如何识别 Linux 服务器上的 SSH 暴力攻击?
要检测 Linux 服务器(例如 CentOS 7、Fedora 21 和 RHEL 7)上的 SSH 暴力破解尝试,可以使用带有以下参数的journalctl 命令-
# journalctl -u sshd | grep “密码失败”
此命令将在系统日志中搜索与 SSH 服务相关的任何条目,其中包含字符串“ Failed password ”,表示登录尝试失败。
对于使用 Upstart 的旧版 RedHat 系统(例如 CentOS 6 和 RHEL 6),您可以使用以下命令在/var/log/secure文件中搜索可能的入侵尝试 –
#cat /var/log/secure | grep “密码失败”
此命令将在/var/log/secure 文件中搜索包含字符串“ Failed password ”的条目。
如何识别 Windows 服务器上的暴力攻击?
事件查看器是Windows 中的内置工具,可用于查看系统和应用程序日志。您可以通过转到“开始”菜单,输入“事件查看器”,然后按 Enter 来访问它。在事件查看器中,查找安全、系统和应用程序日志。
事件查看器中的“安全日志”包含与安全相关的事件记录,例如登录尝试。您可以通过展开事件查看器中的Windows 日志文件夹并单击“安全”来找到安全日志。
查找事件ID 分别为 4625 和 4624 的日志,这表示登录尝试失败和成功。
注意:定期检查日志和监控网络流量以识别任何可能表明暴力攻击的可疑活动非常重要。
在这篇博客中,我们讨论了可用于防止暴力攻击的各种工具和方法。
预防服务器暴力攻击的五大工具
1. IPBan
IPBan 是一种有效的工具,可防止暴力攻击并阻止来自特定 IP 地址的重复登录尝试。当许多失败的登录尝试来自单个 IP 地址时,它会起作用。在这种情况下,IPBan 会自动阻止该 IP 进行进一步尝试。
IPBan 安全应用程序是为 Windows 和 Linux 开发的,用于阻止僵尸网络和黑客。安全是服务器管理员的主要目标;因此,防火墙中管理员定义的僵尸网络和黑客也可以提高性能。
每次登录尝试失败都会消耗大量 CPU 和系统资源,尤其是在远程桌面和 SSH 环境中。
IPBan 可保护远程桌面 (RDP)、SSH、SMTP 和数据库(如 MySQL 或 SQL Server)免受登录失败的影响。通过编辑 IPBan 配置文件,您还可以向 Windows 或 Linux 服务器添加其他协议。
IPBan 可以在未经授权的访问到达 Web 应用程序之前阻止它们,从而帮助减少服务器负载;这减少了服务器必须处理的请求数量。
要求 –
- .NET 6 SDK 用于构建和调试代码。
- 具有管理员或root权限的IDE或终端。
支持的平台 –
- Windows 8.1 或更新版本(x86、x64)、Windows Server 2012 或更新版本(x86、x64)、Linux(Ubuntu、Debian、CentOS、RedHat x64)。
- IPBan Windows Server 2008 经过一些修改后仍可运行。但是,由于 Windows Server 2008 已到达使用寿命的尽头,因此不再受官方支持。
- 在 CentOS 和 RedHat Linux 中,您必须使用 Yum 包管理器手动安装 IPtables 和 IPset。
- IPBan 不支持 Mac OS X。
2. CSF
配置服务器防火墙 (CSF) 是一种 Web 应用程序防火墙 (WAF),可保护网站和服务器免受暴力攻击。使用 CSF,您可以监控用户活动、跟踪访问者并确保网站和服务器的安全。此外,您还可以监控网络流量的任何变化并检测任何安全漏洞。
安装防火墙的好处 –
- 防火墙可防止通过软件或硬件未经授权访问私人网络上的服务器。
- 防火墙通过监控和控制内部系统和外部设备之间的数据流来保护计算机网络。
- 防火墙通常监控计算机上传入和传出的数据包(流量),过滤非法内容或阻止不需要的网络请求。
- 它可以防止程序将信息发送到内部网络之外,除非用户明确授权。从而阻止黑客访问敏感数据。
- 您可以在防火墙中设置规则来阻止系统登录失败的IP地址。
- 如果您的服务器上有 WHM/cPanel,则可以启用cPHulk暴力破解保护。此功能可保护服务器免受暴力破解攻击。
- 它将防止病毒进入或传播到整个公司网络。
3. EvlWatcher
EvlWatcher 的工作原理与 Windows 服务器上的 Fail2ban 应用程序类似。EvlWatcher 应用程序会检查服务器日志文件中是否存在失败的登录尝试和其他不可信活动。如果 EvlWatcher 发现的登录尝试失败次数超过预定义的次数,它会在指定的时间内阻止 IP 地址。通过使用 EvlWatcher,您可以防止未经授权访问您的服务器。
EvlWatcher 是一款出色的应用程序。安装后,它将使用默认规则自动保护您的服务器,您也可以通过编辑config.xml来更改这些规则。对于反复尝试入侵服务器的人,还有一个永久的 IP 禁止列表;三次攻击后,他们就会自动进入该列表。您可以在应用程序中更改阻止时间或设置例外。
在 GitHub 上,EvlWatcher 项目仍在积极开发中。
4. Malwarebytes
暴力攻击涉及猜测可能的密码组合,直到找到正确的密码组合。如果此攻击成功,恶意软件可以传播到整个网络并解密加密数据。因此,Malwarebytes Premium使用先进的防病毒和反恶意软件技术保护服务器免受暴力攻击。
网络犯罪分子利用 RDP 密码漏洞对服务器进行暴力攻击,传播勒索软件和间谍软件等恶意软件。Malwarebytes 的暴力保护功能可减少 RDP 连接的暴露并阻止正在进行的攻击。
如果您正在寻找一款能够提供实时恶意软件防护的防病毒软件,以抵御广泛威胁和暴力攻击,Malwarebytes Premium 是一个不错的选择。它无需额外的防病毒软件即可提供最佳保护。如果您担心最近感染了病毒或试图进行暴力攻击,您还可以根据需要手动扫描您的服务器。
Malwarebytes 支持 Windows、Linux、Mac OS、Android 和 Chrome OS。
在设备上安装 Malwarebytes 后,可免费使用 14 天。免费试用期结束后,该程序将仅运行最基本的功能,您可以继续使用而无需额外付费。要获得主动的全天候实时保护,您必须购买 Malwarebytes Premium 许可证(有效期为一至两年)。
5.Sentry
Sentry 是一款全自动暴力破解保护应用程序,可以静默无缝地保护 SSH 连接,无需用户交互。它是一款安全且功能强大的 Linux 服务器暴力破解保护工具。Sentry 是用 Perl 编写的。它的安装和部署非常简单,不需要任何依赖项。
Sentry 可检测并阻止针对 SSH 守护程序 (SSHd) 的暴力攻击。它使用 TCP 包装器和多种流行的防火墙来阻止 SSH 暴力攻击。
尽管 Sentry 的设计初衷是保护 SSH 守护程序,但它也适用于 FTP 和 MUA 服务。您可以轻松扩展 Sentry 以支持其他阻止列表。其主要目标是减少资源数量。
Sentry 采用灵活的规则来检测恶意连接。当用户尝试使用无效的用户名或密码登录系统时,通常会被视为可疑行为。
对于用于远程访问和管理服务器的 SSH 协议尤其如此。
当无效用户尝试通过 SSH 登录时,服务器通常会拒绝登录尝试,并可能将该事件记录为安全警报。配置部分包含 Sentry 的脚本相关规则。
预防暴力攻击的技术
1. 使用强密码。
您应该做的第一件事是创建一个强密码。强密码意味着很难猜测,并且使用不常用的字符。您可以使用任何您想要的字符;只要确保它们不常用即可。
如果您使用字典中的单词,请尽量避免使用人们容易猜到的单词。例如,如果您尝试创建包含单词“password”的密码,请不要选择“p@ssword”之类的密码。相反,请使用“passw0rd”或“my_secret_password”之类的密码。
2.不要重复使用密码。
通过在多个帐户上重复使用相同的密码,您将面临更大的风险,即攻击者能够使用一组登录凭据访问多个帐户。这可能会造成严重后果,例如财务损失或个人信息被盗。
避免重复使用密码非常重要,因为这会增加暴力攻击的风险。如果您在多个网站上使用相同的密码,则访问您电子邮件帐户的人也可以访问这些网站。因此,如果您在一个网站上更改了密码,也请在其他地方更改密码。为每个帐户使用唯一的密码,并使用密码管理器安全地生成和存储密码,有助于防止暴力攻击。
3. 经常更改密码。
经常更改密码是防止暴力攻击的重要做法,因为这种攻击需要反复猜测登录凭据才能获得访问权限。定期更改密码会使攻击者更难猜出正确的登录凭据。
如果您怀疑自己的帐户可能已被盗用,则应至少每三个月或更频繁地更改密码。创建新密码时,务必使用包含字母、数字和特殊字符的强密码。避免使用容易猜到的信息,例如您的姓名、出生日期或常用词。
4.保持软件更新。
更新计算机软件对于保持牢不可破的安全性非常重要。软件开发人员发布的更新包含重要的安全修复程序,可帮助您的计算机免受病毒、恶意软件和其他在线威胁的侵害。
定期检查和安装更新有助于保证计算机安全并顺利运行。检查软件网站以查看是否有任何重要更新也是一个好主意。
5. 使用双因素身份验证(2FA)。
通过添加双重身份验证,您可以使您的登录信息更加安全。登录时,您需要输入用户名、密码以及发送到您手机或电子邮件地址的短信代码。这有助于进一步保护您的数据,即使有人窃取了您的用户名/密码组合。
6.更改RDP/SSH服务默认端口。
Microsoft Windows 操作系统在默认端口 3389 上附带远程桌面服务。由于此端口常用,因此它很容易成为针对远程桌面的暴力攻击的目标。
7. 限制特定 IP 地址对 RDP 服务的访问
基于 IP 的限制允许管理员将对特定服务的访问限制在已注册的 IP 地址范围内。许多管理员选择使用基于 IP 的限制来保护 RDP 连接。这只允许某些 IP 地址连接到 RDP 端口,这有助于防止未经授权的访问并防范潜在的安全威胁。
结论
可以通过使用多种工具和技术来防止暴力攻击。从使用强密码和多因素身份验证到使用 RDP/SSH 服务的非标准端口,限制特定 IP 地址对 RDP/SSH 服务的访问对于防止暴力攻击至关重要。
监控服务器日志和网络流量也很重要,这样可以识别任何表明存在暴力攻击的可疑活动。此外,一些在线工具可以通过阻止来自单个 IP 地址的重复登录尝试来帮助防止暴力攻击。
因此,这些简单的步骤将确保您的数据和其他个人信息免受黑客攻击。
