防止暴力攻击的 5 大工具

已发表: 2023-02-09

防止暴力攻击的工具

什么是蛮力攻击?

蛮力攻击是一种黑客技术,涉及尝试许多不同的密码,希望最终能正确猜出正确的密码。 任何暴力攻击的第一步都是选择一个目标; 因此,黑客首先扫描网络寻找开放端口,然后尝试猜测密码。 如果黑客猜出正确的密码,他们将尝试登录。一旦登录,他们将完全控制网络。

蛮力攻击目标系统同时使用大量针对/发送的数据; 向目标服务器或服务发送请求或大量无用信息。 这些攻击用于使服务器和网络设备不堪重负。

在暴力攻击中,攻击者使用大量的计算能力来试图破坏系统。 如前所述,暴力攻击是一种猜测密码或尝试字符组合直到找到有效的方法。 这些攻击通常是自动进行的,这意味着它们是在没有人工输入的情况下完成的; 这些类型的攻击通常被称为“黑客攻击”。

如何指示暴力攻击?

表示暴力攻击的几个动作,例如 -

  1. 重复登录尝试:短时间内大量登录尝试失败是暴力攻击的明显迹象。
  2. 高资源使用率:暴力攻击可能会导致目标服务器上的 CPU 或内存使用率过高,因为它正在尝试处理大量登录尝试。
  3. 异常网络流量:暴力攻击会产生大量传入流量,可通过监控网络流量模式检测到。
  4. 可疑 IP 地址:可以检查日志以查找重复尝试连接到服务器的可疑 IP 地址。

如何识别 Linux 服务器上的 SSH 暴力破解攻击?

要检测 Linux 服务器(例如 CentOS 7、Fedora 21 和 RHEL 7)上的 SSH 暴力破解尝试,您可以使用带有以下参数的journalctl 命令–

# journalctl -u sshd |grep “密码错误”

对 Linux 服务器的暴力攻击

此命令将在系统日志中搜索与 SSH 服务相关的任何条目,其中包含字符串“Failed password ”,这表明登录尝试失败。

对于使用新贵的基于 RedHat 的旧系统(例如 CentOS 6 和 RHEL 6),您可以使用以下命令/var/log/secure 文件中搜索可能的入侵尝试 -

#cat /var/日志/安全 |grep “密码错误”

对基于 RedHat 的系统的暴力攻击

此命令将在/var/log/secure 文件中搜索包含字符串“Failed password”的任何条目。

购买安全的 Linux VPS

如何识别对 Windows 服务器的暴力破解攻击?

事件查看器是 Windows 中的内置工具,可让您查看系统和应用程序日志。 您可以通过转到“开始”菜单,键入“事件查看器”并按 Enter 来访问事件查看器。 在事件查看器中查找与安全、系统和应用程序相关的日志。

事件查看器中的“安全日志”包含与安全相关的事件记录,例如登录尝试。 您可以通过展开事件查看器中的Windows 日志文件夹然后单击“安全”来找到安全日志

查找事件ID 为 4625 和 4624 的日志,它们分别表示登录尝试失败和成功。

事件查看器中的安全日志

注意:定期检查日志和监控网络流量以识别可能表明暴力攻击的任何可疑活动非常重要。

在此博客中,我们讨论了可用于防止暴力攻击的各种工具和方法。

购买安全的 Windows VPS

防止暴力攻击的 5 大工具

1. IPBan

IPBan 是防止暴力攻击的有效工具,因为它可以阻止来自特定 IP 地址的重复登录尝试。 暴力攻击通常涉及自动脚本,这些脚本通过尝试不同的用户名和密码组合来反复尝试猜测用户的登录凭据。 当大量失败的登录尝试来自单个 IP 地址时,IPBan 会起作用。 在这种情况下,IPBan 会自动阻止该 IP 进行进一步尝试。

IPBan 安全应用程序专为 Windows 和 Linux 开发,用于阻止僵尸网络和黑客。 安全是服务器管理员的主要目标,因此管理员定义的僵尸网络和防火墙中的黑客也可以提高性能。 每次失败的登录尝试都会消耗大量的 CPU 和系统资源; 这主要是在远程桌面和 SSH 环境中。

IPBan 保护远程桌面 (RDP)、SSH、SMTP 和数据库(如 MySQL 或 SQL Server)免受登录尝试失败的影响。 您还可以通过编辑 IPBan 配置文件在 Windows 或 Linux 服务器中添加其他协议。

要求 -

  • IPBan 需要 .NET 6 SDK 来构建和调试代码。
  • IPBan 需要具有管理员或根访问权限的 IDE 或终端。

支持的平台 –

  • Windows 8.1 或更高版本(x86、x64)、Windows Server 2012 或更高版本(x86、x64)、Linux(Ubuntu、Debian、CentOS、RedHat x64)。
  • IPBan Windows Server 2008 可能需要一些修改。 随着 Windows Server 2008 的生命周期结束,它不再受到官方支持。
  • 在 CentOS 和 RedHat Linux 中,您需要使用 Yum 包管理器手动安装 IPtables 和 IPset。
  • Mac OS X 不支持 IPBan。
  • 您可以从此处下载 IPBan 应用程序。

在服务器上安装 IPBan 可以提供多种好处来帮助防止暴力攻击:

  • IPBan 检查大量失败的登录尝试是否来自同一 IP 地址。 一旦检测到该 IP,它会自动阻止该 IP 进行进一步尝试; 这有效地阻止了攻击并有助于保护服务器。
  • IPBan 可以防止未经授权的访问和保护敏感信息,从而大大提高服务器的安全性。
  • IPBan 可以在未经授权的访问到达 Web 应用程序之前阻止它们,从而帮助减少服务器负载; 这减少了服务器必须处理的请求数量。
  • 通过安装IPBan,我们还可以提高服务器的性能。

总的来说,IPBan 是一个强大而有效的防止暴力攻击的工具。 它的设置和使用也很简单。 这使其成为需要保护免受此类攻击的任何网站或服务器的绝佳选择。

2.脑脊液

Config Server Firewall (CSF) 是一种 Web 应用程序防火墙 (WAF),可保护网站和服务器免受暴力攻击。 使用 CSF,您可以监控用户活动、跟踪访问者并确保网站和服务器保持安全。 此外,您还可以监控网络流量的任何变化并检测任何安全漏洞。

安装防火墙的好处 –

  • 防火墙可防止通过软件或硬件对专用网络上的服务器进行未经授权的访问。
  • 防火墙通过监视和控制内部系统和外部设备之间的数据流来保护计算机网络。
  • 防火墙通常监视计算机上传入和传出的数据包(流量); 过滤非法内容或阻止不需要的 Web 请求。
  • 它阻止程序向内部网络之外发送信息,除非用户特别授权它这样做。 因此,阻止黑客访问敏感数据。
  • 您可以在防火墙中设置规则并阻止失败登录尝试系统的 IP 地址。
  • 如果服务器上有 WHM/cPanel,则可以启用 cPHulk Brute Force Protection。 此功能可保护服务器免受暴力攻击。
  • 它将防止病毒进入公司网络或在整个公司网络中传播。

您可以参考本文在您的服务器上下载 CSF。

3.EvlWatcher

EvlWatcher 的工作方式类似于 Windows 服务器上的 Fail2ban 应用程序。 EvlWatcher 应用程序检查服务器日志文件以查找失败的登录尝试和其他不可信的活动。 如果 EvlWatcher 发现失败的登录尝试次数超过预定义的次数,它会在指定的持续时间内阻止 IP 地址。 通过使用 EvlWatcher,您可以防止未经授权访问您的服务器。

EvlWatcher 是一个优秀的应用程序。 安装后,它会使用默认规则自动保护您的服务器,您也可以通过编辑config.xml来更改这些规则。 对于那些反复尝试破坏服务器的人,还有一个永久的 IP 封禁名单; 他们在三击后自动降落在那里。 您可以更改阻止时间或在应用程序中进行例外处理。

在 GitHub 上,EvlWatcher 项目仍在积极开发中。
您可以从这里下载 EvlWatcher。

4.恶意软件字节

暴力攻击涉及猜测可能的密码组合,直到找到正确的密码组合。 如果此攻击成功,恶意软件可以在网络中传播并解密加密数据。 因此, Malwarebytes Premium使用高级防病毒和反恶意软件技术保护服务器免受暴力攻击。

通过利用 RDP 密码漏洞,网络犯罪分子对服务器进行暴力攻击,以勒索软件和间谍软件的形式分发恶意软件。 Malwarebytes 的蛮力保护功能可减少 RDP 连接暴露并阻止正在进行的攻击。

如果您正在寻找一种能够提供实时恶意软件保护以免受广泛威胁和暴力攻击的防病毒软件,Malwarebytes Premium 是一个不错的选择。 Malwarebytes Premium 为您提供最佳保护,无需额外的防病毒软件。 如果您担心您最近感染了病毒或试图进行暴力攻击,您也可以按需手动扫描您的服务器。

Windows、Linux、Mac OS、Android 和 Chrome OS 支持 Malwarebytes。

Malwarebytes 在您的设备上安装后可免费使用 14 天。 免费试用期结束后,程序将只运行最基本的功能,您可以继续免费使用。 要获得主动的 24/7 实时保护,您需要购买一年或两年的 Malwarebytes Premium 许可证。

您可以从此处下载 Malwarebytes 应用程序。

5.哨兵

Sentry 是一款全自动暴力破解保护应用程序,无需任何用户交互即可静默无缝地保护 SSH 连接。 它是一种安全且强大的保护工具,可抵御对 Linux 服务器的暴力攻击。 Sentry 是用 Perl 编写的。 它的安装和部署非常简单,不需要任何依赖。

Sentry 检测并防止针对 SSH 守护进程 (SSHd) 的暴力攻击。 SSH 暴力攻击被 Sentry 使用 TCP 包装器和几个流行的防火墙阻止; 它旨在保护 SSH 守护进程; 然而,这也适用于 FTP 和 MUA 服务。 您可以轻松扩展 Sentry 以支持其他阻止列表。 其主要目标是减少资源数量。

为了检测恶意连接,Sentry 采用了灵活的规则。 当用户尝试使用无效的用户名或密码登录系统时,通常被认为是可疑的。 对于用于远程访问和管理服务器的 SSH 协议尤其如此。 当无效用户尝试通过 SSH 登录时,服务器通常会拒绝登录尝试,并可能将该事件记录为安全警报。 在配置部分可以看到哨兵的脚本相关规则。

如何在服务器上下载哨兵工具请参考这篇文章。

防止暴力攻击的技术

1.使用强密码。

您应该做的第一件事是创建一个强密码。 强密码意味着难以猜测和使用不常用的字符。 您可以使用任何您想要的字符,只要确保它们不常用即可。 如果您使用字典中的单词,请尽量避免使用人们可能很容易猜到的单词。 例如,如果您尝试创建一个包含“密码”一词的密码,请不要选择“[电子邮件保护]”之类的内容。 相反,请使用“passw0rd”或“my_secret_password”之类的内容。

2. 不要重复使用密码。

通过在多个帐户上重复使用相同的密码,您会增加攻击者能够使用一组登录凭据访问多个帐户的风险。 这可能会造成严重后果,例如财务损失或个人信息被盗。

避免重复使用密码很重要,因为它也会增加暴力攻击的风险。 如果您在多个网站上使用相同的密码,那么可以访问您的电子邮件帐户的人也可以访问这些网站。 因此,如果您在一个网站上更改了密码,请确保在其他任何地方也进​​行更改。 为每个帐户使用唯一的密码,并使用密码管理器安全地生成和存储它们可以帮助防止暴力攻击。

3. 经常更改密码。

经常更改密码是防止暴力攻击的重要做法,因为这种攻击涉及反复猜测登录凭据以获得访问权限。 通过定期更改密码,攻击者更难猜出正确的登录凭据。

建议您至少每三个月或更频繁地更改一次密码,如果您怀疑您的帐户可能已被盗用。 创建新密码时,务必使用包含字母、数字和特殊字符组合的强而独特的密码。 避免使用容易猜到的信息,例如您的姓名、出生日期或常用词。

4. 保持软件更新。

保持计算机软件更新以保持牢不可破的安全性非常重要。 软件开发人员发布更新,其中包含重要的安全修复程序,可以帮助您的计算机免受病毒、恶意软件和其他在线威胁的侵害。 通过定期检查和安装更新,您可以帮助确保计算机安全和平稳运行。 定期检查您使用的软件的网站以查看是否有任何重要更新可用也是一个好主意。

5. 使用双因素身份验证 (2FA)。

通过添加双因素身份验证,您可以使您的登录信息更加安全。 在此,您需要输入您的用户名、密码以及登录时发送到您的手机或电子邮件地址的短信代码。这有助于进一步保护您的数据,即使有人窃取了您的用户名/密码组合。

6. 更改 RDP/SSH 服务默认端口。

Microsoft Windows 操作系统在默认端口 3389 上附带远程桌面服务。由于它是一个常用端口,因此很容易成为针对远程桌面的暴力攻击的目标。

通过参考本文,您可以轻松地将 RDP 端口 3389 更改为 Windows VPS/专用服务器上的非标准端口。

同样,SSH服务也自带22端口。 您可以参考我们的文章更改此端口;

  • 对于 CentOS,请参阅本文。
  • 对于 Ubuntu,请参阅本文。

7.限制特定IP地址访问RDP服务

基于 IP 的限制允许管理员将对特定服务的访问限制为仅注册的 IP 地址范围。 为了保护 RDP 连接,许多管理员选择使用基于 IP 的限制。 这只允许某些 IP 地址连接到 RDP 端口。 这有助于防止未经授权的访问并防止潜在的安全威胁。

您可以参考本文设置基于 IP 的限制。

结论

可以通过使用我们在本文中讨论的多种工具和技术来防止暴力攻击。 从使用强密码和多重身份验证到使用 RDP/SSH 服务的非标准端口,限制特定 IP 地址对 RDP/SSH 服务的访问对于保持安全免受暴力攻击至关重要。

监控服务器的日志和网络流量以识别可能表明暴力攻击的任何可疑活动也很重要。 此外,一些在线可用的在线工具可以通过阻止来自单个 IP 地址的重复登录尝试来帮助防止暴力攻击。

因此,采取这些简单的步骤将确保您的数据和其他个人信息免受黑客攻击。