火绒安全软件

标题: 火绒5.0:暴破攻击防护功能简介 [打印本页]
作者: Chang_Feng    时间: 2019-3-14 10:51
标题: 火绒5.0:暴破攻击防护功能简介
本帖最后由 Chang_Feng 于 2023-2-20 10:57 编辑

    暴破攻击防护功能主要是针对一些常见的暴力破解攻击进行防护,例如:RPC暴破、SQL Server暴破、SMB暴破。

典型应用:
    1. 利用hydra暴力破解工具进行SQL Server暴破攻击

攻击演示:
    攻击者通常通过暴力破解工具攻击受害者终端,尝试获取登录密码,在成功完成暴破后,攻击者可以使用登录密码登录相应的网络服务,下载执行恶意代码,造成更严重的安全威胁。
     
    1.在被攻击终端中安装SQL Server并开启相应的网络设置,确保SQL Server服务器可以被远程登录。
    2.将hydra暴力破解密码字典中的密码,设置为被攻击终端SQL Server的sa账号密码(为了确保暴破成功)。如下图所示:

    3.运行hydra暴力破解工具,等待攻击结果。如下图所示:

    4.攻击完成后,hydra显示获取到一个有效密码。如下图所示:


防御测试:
1.在被攻击终端上安装火绒5.0,确保远程登录保护功能开启。

2. 在被攻击终端中安装SQL Server并开启相应的网络设置,确保SQL Server服务器可以被远程登录。
3.如前文将数据库密码设置为暴破字典中的密码后,使用暴力破解工具进行攻击。查看火绒拦截日志,如下图所示:


根据火绒拦截日志得出
1.通过本地IP和端口,可以得知被攻击的IP地址为192.168.1.145,被攻击的网络服务绑定端口为1433(对应SQL Server服务端口)
2.通过远程地址,可以得知发起攻击的终端IP为:192.168.1.197

总结:
今年来,利用暴力破解进行渗透攻击的病毒威胁不断增多,如勒索病毒Crysis、GandCrab都曾经使用过暴力破解攻击的方式进行病毒传播。远程登录保护功能可以很好的防范一些较为常见的暴力破解攻击方式,从而降低终端被通过暴力破解入侵的可能性。


作者: nat    时间: 2019-3-14 11:34
  很实用
作者: 清雨青雪    时间: 2019-3-14 13:29
没抢到沙发
不过还是绝对支持
作者: 深蓝冲击波    时间: 2019-3-14 13:44
不错。。。。。。
作者: 系统防护    时间: 2019-3-19 11:57
在QQ群 加QQ黑客群 测试一下 看看能不能破远程登录防护功能 就知道了 火绒是不是吹还是实在 未知数 自己人做 自己人测试 有意思吗?一山比一山高,找别人测试您做的产品 看看自己有没有不足的地方
作者: romonupark    时间: 2019-3-25 23:06
看到了IP黑名单,有没有IP白名单功能呀
作者: her100    时间: 2019-4-2 09:31
出现这种情况是对方电脑有病毒吗?

作者: bigtotoro    时间: 2019-4-2 14:29
这功能用在服务器端的吧
作者: mk84    时间: 2019-4-13 10:08
发觉这功能开了之后局域网共享文件访问会很久才弹出登录框,大概有个几十秒到一分钟,不开就马上能弹出登录框输入帐号密码登录了
作者: mutu    时间: 2019-5-15 18:57
很实用的功能
作者: CNGEGE    时间: 2019-6-18 10:10
系统防护 发表于 2019-3-19 11:57
在QQ群 加QQ黑客群 测试一下 看看能不能破远程登录防护功能 就知道了 火绒是不是吹还是实在 未知数 自己人 ...

虽然有点黑的感觉,但是说的也确实在理
其实也能理解楼主做的应该是想以实验的方式说明这个功能具体是做什么用的,不是宣传这个有多么多么强大的对吧
作者: 十小羽    时间: 2019-6-24 11:22
本帖最后由 十小羽 于 2019-6-24 11:37 编辑

【1】2019-06-24 10:54:06,网络防护,远程登陆防护,受到[fe80::6991:ba15:3b4c:37e2]的网络攻击,已阻止

远程地址:[fe80::6991:ba15:3b4c:37e2]:54102
本地地址:[fe80::4d22:1b25:fa5c:c165]:445
协议:SMBv2
防御结果:已阻止-------------------------------------------------------------------

感觉火绒挺有用的,想知道这是怎么回事我的电脑有漏洞?系统是win10 1903 家庭

作者: thyx88    时间: 2019-6-28 16:34

很实用的功能
作者: ywbwtw    时间: 2019-7-30 14:37
十小羽 发表于 2019-6-24 11:22
【1】2019-06-24 10:54:06,网络防护,远程登陆防护,受到[fe80::6991:ba15:3b4c:37e2]的网络攻击,已阻止

远 ...

不是有漏洞,是有人访问你的共享文件夹,你看你开共享了么
作者: WalkingDead    时间: 2019-8-1 08:55
       请问下“网站内容控制”规则里面的网址在哪里查看啊?
作者: rockliu    时间: 2019-8-2 16:10
顶一下,好内容
作者: heronline    时间: 2019-8-15 14:54
十小羽 发表于 2019-6-24 11:22
【1】2019-06-24 10:54:06,网络防护,远程登陆防护,受到[fe80::6991:ba15:3b4c:37e2]的网络攻击,已阻止

远 ...

这个是通过445共享端口发起的攻击。电脑开了445端口,可以直接被局域网的电脑感染。挺不错的。如果会设置,防火墙里面就可以禁用445端口
作者: mencall    时间: 2022-8-1 10:28
这个我设置的自动阻止,怎么不记录攻击事件呢?
https://bbs.huorong.cn/thread-108737-1-1.html



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4