火绒安全软件

标题: RDP暴力攻击，不堪其扰 [打印本页]

---

作者: abcdwf    时间: 4 天前
标题: RDP暴力攻击，不堪其扰
小服务器被暴力攻击了，这些ip到底是被控制的僵尸肉鸡，还是其他...

1. 
   
2. 2025-07-08 09:47:30        [已拦截]          远程桌面弱口令攻击,攻击者:45.134.26.142        防护 2 次
   
3. 检测到远程桌面暴力破解,攻击者:45.134.26.142
   
4. 2025-07-08 09:12:58        [已拦截]          远程桌面弱口令攻击,攻击者:47.103.20.37        防护 1 次
   
5. 检测到远程桌面暴力破解,攻击者:47.103.20.37
   
6. 2025-07-08 08:48:52        [已拦截]          远程桌面弱口令攻击,攻击者:111.231.19.187        防护 1 次
   
7. 检测到远程桌面暴力破解,攻击者:111.231.19.187
   
8. 2025-07-08 08:20:56        [已拦截]          远程桌面弱口令攻击,攻击者:175.6.71.74        防护 1 次
   
9. 检测到远程桌面暴力破解,攻击者:175.6.71.74
   
10. 2025-07-08 07:53:00        [已拦截]          远程桌面弱口令攻击,攻击者:36.133.87.165        防护 1 次
    
11. 检测到远程桌面暴力破解,攻击者:36.133.87.165
    
12. 2025-07-08 07:38:50        [已拦截]          远程桌面弱口令攻击,攻击者:59.108.47.89        防护 1 次
    
13. 检测到远程桌面暴力破解,攻击者:59.108.47.89
    
14. 2025-07-08 07:11:57        [已拦截]          远程桌面弱口令攻击,攻击者:119.91.60.215        防护 1 次
    
15. 检测到远程桌面暴力破解,攻击者:119.91.60.215
    
16. 2025-07-08 04:22:54        [已拦截]          远程桌面弱口令攻击,攻击者:61.149.205.250        防护 1 次
    
17. 检测到远程桌面暴力破解,攻击者:61.149.205.250
    
18. 2025-07-08 04:22:41        [已拦截]          远程桌面弱口令攻击,攻击者:81.71.49.93        防护 2 次
    
19. 检测到远程桌面暴力破解,攻击者:81.71.49.93
    
20. 2025-07-08 02:02:42        [已拦截]          远程桌面弱口令攻击,攻击者:150.158.131.59        防护 1 次
    
21. 检测到远程桌面暴力破解,攻击者:150.158.131.59
    
22. 2025-07-07 23:56:43        [已拦截]          远程桌面弱口令攻击,攻击者:175.178.106.119        防护 1 次
    
23. 检测到远程桌面暴力破解,攻击者:175.178.106.119
    
24. 2025-07-07 22:29:12        [已拦截]          远程桌面弱口令攻击,攻击者:106.227.3.225        防护 2 次
    
25. 检测到远程桌面暴力破解,攻击者:106.227.3.225
    
26. 2025-07-07 22:23:59        [已拦截]          远程桌面弱口令攻击,攻击者:49.234.178.251        防护 1 次
    
27. 检测到远程桌面暴力破解,攻击者:49.234.178.251
    
28. 2025-07-07 21:07:42        [已拦截]          远程桌面弱口令攻击,攻击者:46.19.143.50        防护 1 次
    
29. 检测到远程桌面暴力破解,攻击者:46.19.143.50
    
30. 2025-07-07 20:37:09        [已拦截]          远程桌面弱口令攻击,攻击者:43.143.236.43        防护 1 次
    
31. 检测到远程桌面暴力破解,攻击者:43.143.236.43
    
32. 2025-07-07 20:31:10        [已拦截]          远程桌面弱口令攻击,攻击者:180.102.26.187        防护 1 次
    
33. 检测到远程桌面暴力破解,攻击者:180.102.26.187
    
34. 2025-07-07 19:36:32        [已拦截]          远程桌面弱口令攻击,攻击者:106.225.208.253        防护 1 次
    
35. 检测到远程桌面暴力破解,攻击者:106.225.208.253
    
36. 2025-07-07 19:29:10        [已拦截]          远程桌面弱口令攻击,攻击者:106.12.155.93        防护 1 次
    
37. 检测到远程桌面暴力破解,攻击者:106.12.155.93
    
38. 2025-07-07 19:14:15        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.46.192        防护 2 次
    
39. 检测到远程桌面暴力破解,攻击者:150.223.46.192
    
40. 2025-07-07 19:06:16        [已拦截]          远程桌面弱口令攻击,攻击者:31.7.56.210        防护 1 次
    
41. 检测到远程桌面暴力破解,攻击者:31.7.56.210
    
42. 2025-07-07 19:05:11        [已拦截]          远程桌面弱口令攻击,攻击者:106.227.10.197        防护 2 次
    
43. 检测到远程桌面暴力破解,攻击者:106.227.10.197
    
44. 2025-07-07 18:36:53        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.71.43        防护 2 次
    
45. 检测到远程桌面暴力破解,攻击者:150.223.71.43
    
46. 2025-07-07 18:23:18        [已拦截]          远程桌面弱口令攻击,攻击者:60.204.193.202        防护 1 次
    
47. 检测到远程桌面暴力破解,攻击者:60.204.193.202
    
48. 2025-07-07 18:19:58        [已拦截]          远程桌面弱口令攻击,攻击者:120.48.31.185        防护 1 次
    
49. 检测到远程桌面暴力破解,攻击者:120.48.31.185
    
50. 2025-07-07 17:52:58        [已拦截]          远程桌面弱口令攻击,攻击者:42.194.169.139        防护 1 次
    
51. 检测到远程桌面暴力破解,攻击者:42.194.169.139
    
52. 2025-07-07 17:30:42        [已拦截]          远程桌面弱口令攻击,攻击者:203.56.232.68        防护 2 次
    
53. 检测到远程桌面暴力破解,攻击者:203.56.232.68
    
54. 2025-07-07 16:26:20        [已拦截]          远程桌面弱口令攻击,攻击者:117.88.42.245        防护 1 次
    
55. 检测到远程桌面暴力破解,攻击者:117.88.42.245
    
56. 2025-07-07 16:00:20        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.38.165        防护 2 次
    
57. 检测到远程桌面暴力破解,攻击者:150.223.38.165
    
58. 2025-07-07 15:56:57        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.70.215        防护 2 次
    
59. 检测到远程桌面暴力破解,攻击者:150.223.70.215
    
60. 2025-07-07 15:47:47        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.66.111        防护 1 次
    
61. 检测到远程桌面暴力破解,攻击者:150.223.66.111
    
62. 2025-07-07 15:34:32        [已拦截]          远程桌面弱口令攻击,攻击者:119.57.35.196        防护 2 次
    
63. 检测到远程桌面暴力破解,攻击者:119.57.35.196
    
64. 2025-07-07 15:26:28        [已拦截]          远程桌面弱口令攻击,攻击者:203.57.123.136        防护 1 次
    
65. 检测到远程桌面暴力破解,攻击者:203.57.123.136
    
66. 2025-07-07 15:20:01        [已拦截]          远程桌面弱口令攻击,攻击者:121.36.33.30        防护 2 次
    
67. 检测到远程桌面暴力破解,攻击者:121.36.33.30
    
68. 2025-07-07 14:11:14        [已拦截]          远程桌面弱口令攻击,攻击者:139.199.220.132        防护 1 次
    
69. 检测到远程桌面暴力破解,攻击者:139.199.220.132
    
70. 2025-07-07 13:43:39        [已拦截]          远程桌面弱口令攻击,攻击者:114.96.71.11        防护 1 次
    
71. 检测到远程桌面暴力破解,攻击者:114.96.71.11
    
72. 2025-07-07 13:16:43        [已拦截]          远程桌面弱口令攻击,攻击者:106.75.31.62        防护 1 次
    
73. 检测到远程桌面暴力破解,攻击者:106.75.31.62
    
74. 2025-07-07 12:55:14        [已拦截]          远程桌面弱口令攻击,攻击者:122.51.107.183        防护 1 次
    
75. 检测到远程桌面暴力破解,攻击者:122.51.107.183
    
76. 2025-07-07 12:38:10        [已拦截]          远程桌面弱口令攻击,攻击者:123.249.68.168        防护 2 次
    
77. 检测到远程桌面暴力破解,攻击者:123.249.68.168
    
78. 2025-07-07 12:27:14        [已拦截]          远程桌面弱口令攻击,攻击者:114.96.71.209        防护 1 次
    
79. 检测到远程桌面暴力破解,攻击者:114.96.71.209
    
80. 2025-07-07 12:12:51        [已拦截]          远程桌面弱口令攻击,攻击者:106.227.38.34        防护 3 次
    
81. 检测到远程桌面暴力破解,攻击者:106.227.38.34
    
82. 2025-07-07 12:09:17        [已拦截]          远程桌面弱口令攻击,攻击者:106.55.225.243        防护 1 次
    
83. 检测到远程桌面暴力破解,攻击者:106.55.225.243
    
84. 2025-07-07 12:07:15        [已拦截]          远程桌面弱口令攻击,攻击者:114.96.69.167        防护 1 次
    
85. 检测到远程桌面暴力破解,攻击者:114.96.69.167
    
86. 2025-07-07 11:48:56        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.57.210        防护 2 次
    
87. 检测到远程桌面暴力破解,攻击者:150.223.57.210
    
88. 2025-07-07 10:56:54        [已拦截]          远程桌面弱口令攻击,攻击者:106.225.214.137        防护 1 次
    
89. 检测到远程桌面暴力破解,攻击者:106.225.214.137
    
90. 2025-07-07 10:51:53        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.39.217        防护 2 次
    
91. 检测到远程桌面暴力破解,攻击者:150.223.39.217
    

复制代码

---

作者: 火绒运营专员    时间: 4 天前
您好，火绒是否有相关提示呢？可以先关闭不必要的端口看下是否还会有相关提示哈~

---

作者: abcdwf    时间: 4 天前

火绒运营专员 发表于 2025-7-8 10:02
您好，火绒是否有相关提示呢？可以先关闭不必要的端口看下是否还会有相关提示哈~ ...

火绒目前安装在本地电脑上，未有任何提示。
这些是rdp连接到远程服务器上的打印信息

---

作者: abcdwf    时间: 4 天前
我也是想把这些信息提供给火绒官方，我也看到过火绒的情报驱动相关说明。

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 10:09
我也是想把这些信息提供给火绒官方，我也看到过火绒的情报驱动相关说明。 ...

好的，您方便的话可以在出现问题时使用附件工具抓包我们分析看下哈~

Wireshark 基本使用方法.zip

4 天前 上传

点击文件名下载附件

下载积分: 金钱 -1

44.73 MB, 下载次数: 1, 下载积分: 金钱 -1

---

作者: abcdwf    时间: 4 天前
我已经把wireshark装上去了，并开始捕获了，但还一次攻击都没拦截到，就好像他能感知到我再拦截一样，不攻击了

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 10:55
我已经把wireshark装上去了，并开始捕获了，但还一次攻击都没拦截到，就好像他能感知到我再拦截一样，不攻 ...

好的，您再观察看看，目前看第一个ip：45.134.26.142存在恶意记录，可以加入黑名单处理~

---

作者: abcdwf    时间: 4 天前

火绒运营专员 发表于 2025-7-8 11:05
好的，您再观察看看，目前看第一个ip：45.134.26.142存在恶意记录，可以加入黑名单处理~ ...

好的，感谢大哥

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 11:19
好的，感谢大哥

嗯嗯，后续如果出现攻击记录可以尝试抓包这边分析下哈~

---

作者: abcdwf    时间: 4 天前


隔了很久才拦截到一条

1. 时间        操作        说明        次数
   
2. 2025-07-08 13:04:38        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.56.35        防护 1 次
   
3. 检测到远程桌面暴力破解,攻击者:150.223.56.35
   
4. 2025-07-08 10:38:22        [已拦截]          远程桌面弱口令攻击,攻击者:175.6.185.74        防护 1 次
   
5. 检测到远程桌面暴力破解,攻击者:175.6.185.74
   
6. 2025-07-08 10:17:58        [已拦截]          远程桌面弱口令攻击,攻击者:124.70.75.103        防护 1 次
   
7. 检测到远程桌面暴力破解,攻击者:124.70.75.103
   
8. 2025-07-08 10:09:00        [已拦截]          远程桌面弱口令攻击,攻击者:81.71.49.93        防护 3 次
   
9. 检测到远程桌面暴力破解,攻击者:81.71.49.93
   
10. 2025-07-08 09:47:30        [已拦截]          远程桌面弱口令攻击,攻击者:45.134.26.142        防护 2 次
    
11. 检测到远程桌面暴力破解,攻击者:45.134.26.142
    
12. 2025-07-08 09:12:58        [已拦截]          远程桌面弱口令攻击,攻击者:47.103.20.37        防护 1 次
    
13. 检测到远程桌面暴力破解,攻击者:47.103.20.37
    
14. 2025-07-08 08:48:52        [已拦截]          远程桌面弱口令攻击,攻击者:111.231.19.187        防护 1 次
    
15. 检测到远程桌面暴力破解,攻击者:111.231.19.187
    
16. 2025-07-08 08:20:56        [已拦截]          远程桌面弱口令攻击,攻击者:175.6.71.74        防护 1 次
    
17. 检测到远程桌面暴力破解,攻击者:175.6.71.74
    
18. 
    

复制代码

Wireshark 请求记录：

1. No.     Time           Source                Destination           Protocol Length Info
   
2.    4700 3907.126776    150.223.56.35         172.28.48.25          TCP      66     49511 → 65230 [SYN, ECE, CWR] Seq=0 Win=64240 Len=0 MSS=1460 WS=256 SACK_PERM
   
3. 
   
4. Frame 4700: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
   
5. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
   
6. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
   
7. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 0, Len: 0
   
8.     Source Port: 49511
   
9.     Destination Port: 65230
   
10.     [Stream index: 180]
    
11.     [Conversation completeness: Complete, WITH_DATA (63)]
    
12.     [TCP Segment Len: 0]
    
13.     Sequence Number: 0    (relative sequence number)
    
14.     Sequence Number (raw): 860961686
    
15.     [Next Sequence Number: 1    (relative sequence number)]
    
16.     Acknowledgment Number: 0
    
17.     Acknowledgment number (raw): 0
    
18.     1000 .... = Header Length: 32 bytes (8)
    
19.     Flags: 0x0c2 (SYN, ECE, CWR)
    
20.     Window: 64240
    
21.     [Calculated window size: 64240]
    
22.     Checksum: 0x9909 [unverified]
    
23.     [Checksum Status: Unverified]
    
24.     Urgent Pointer: 0
    
25.     Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted
    
26.     [Timestamps]
    
27. 
    
28. No.     Time           Source                Destination           Protocol Length Info
    
29.    4704 3907.160981    150.223.56.35         172.28.48.25          TCP      60     49511 → 65230 [ACK] Seq=1 Ack=1 Win=1573632 Len=0
    
30. 
    
31. Frame 4704: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
    
32. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
    
33. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
    
34. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 1, Ack: 1, Len: 0
    
35.     Source Port: 49511
    
36.     Destination Port: 65230
    
37.     [Stream index: 180]
    
38.     [Conversation completeness: Complete, WITH_DATA (63)]
    
39.     [TCP Segment Len: 0]
    
40.     Sequence Number: 1    (relative sequence number)
    
41.     Sequence Number (raw): 860961687
    
42.     [Next Sequence Number: 1    (relative sequence number)]
    
43.     Acknowledgment Number: 1    (relative ack number)
    
44.     Acknowledgment number (raw): 829451830
    
45.     0101 .... = Header Length: 20 bytes (5)
    
46.     Flags: 0x010 (ACK)
    
47.     Window: 6147
    
48.     [Calculated window size: 1573632]
    
49.     [Window size scaling factor: 256]
    
50.     Checksum: 0x1dd4 [unverified]
    
51.     [Checksum Status: Unverified]
    
52.     Urgent Pointer: 0
    
53.     [Timestamps]
    
54.     [SEQ/ACK analysis]
    
55. 
    
56. No.     Time           Source                Destination           Protocol Length Info
    
57.    4705 3907.161234    150.223.56.35         172.28.48.25          TLSv1.2  73     Ignored Unknown Record
    
58. 
    
59. Frame 4705: 73 bytes on wire (584 bits), 73 bytes captured (584 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
    
60. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
    
61. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
    
62. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 1, Ack: 1, Len: 19
    
63.     Source Port: 49511
    
64.     Destination Port: 65230
    
65.     [Stream index: 180]
    
66.     [Conversation completeness: Complete, WITH_DATA (63)]
    
67.     [TCP Segment Len: 19]
    
68.     Sequence Number: 1    (relative sequence number)
    
69.     Sequence Number (raw): 860961687
    
70.     [Next Sequence Number: 20    (relative sequence number)]
    
71.     Acknowledgment Number: 1    (relative ack number)
    
72.     Acknowledgment number (raw): 829451830
    
73.     0101 .... = Header Length: 20 bytes (5)
    
74.     Flags: 0x018 (PSH, ACK)
    
75.     Window: 6147
    
76.     [Calculated window size: 1573632]
    
77.     [Window size scaling factor: 256]
    
78.     Checksum: 0x0bba [unverified]
    
79.     [Checksum Status: Unverified]
    
80.     Urgent Pointer: 0
    
81.     [Timestamps]
    
82.     [SEQ/ACK analysis]
    
83.     TCP payload (19 bytes)
    
84. Transport Layer Security
    
85. 
    
86. No.     Time           Source                Destination           Protocol Length Info
    
87.    4713 3907.205814    150.223.56.35         172.28.48.25          TLSv1.2  183    Client Hello
    
88. 
    
89. Frame 4713: 183 bytes on wire (1464 bits), 183 bytes captured (1464 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
    
90. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
    
91. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
    
92. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 20, Ack: 20, Len: 129
    
93.     Source Port: 49511
    
94.     Destination Port: 65230
    
95.     [Stream index: 180]
    
96.     [Conversation completeness: Complete, WITH_DATA (63)]
    
97.     [TCP Segment Len: 129]
    
98.     Sequence Number: 20    (relative sequence number)
    
99.     Sequence Number (raw): 860961706
    
100.     [Next Sequence Number: 149    (relative sequence number)]
     
101.     Acknowledgment Number: 20    (relative ack number)
     
102.     Acknowledgment number (raw): 829451849
     
103.     0101 .... = Header Length: 20 bytes (5)
     
104.     Flags: 0x018 (PSH, ACK)
     
105.     Window: 6147
     
106.     [Calculated window size: 1573632]
     
107.     [Window size scaling factor: 256]
     
108.     Checksum: 0x9728 [unverified]
     
109.     [Checksum Status: Unverified]
     
110.     Urgent Pointer: 0
     
111.     [Timestamps]
     
112.     [SEQ/ACK analysis]
     
113.     TCP payload (129 bytes)
     
114. Transport Layer Security
     
115. 
     
116. No.     Time           Source                Destination           Protocol Length Info
     
117.    4717 3907.245359    150.223.56.35         172.28.48.25          TLSv1.2  236    Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
     
118. 
     
119. Frame 4717: 236 bytes on wire (1888 bits), 236 bytes captured (1888 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
     
120. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
     
121. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
     
122. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 149, Ack: 1181, Len: 182
     
123.     Source Port: 49511
     
124.     Destination Port: 65230
     
125.     [Stream index: 180]
     
126.     [Conversation completeness: Complete, WITH_DATA (63)]
     
127.     [TCP Segment Len: 182]
     
128.     Sequence Number: 149    (relative sequence number)
     
129.     Sequence Number (raw): 860961835
     
130.     [Next Sequence Number: 331    (relative sequence number)]
     
131.     Acknowledgment Number: 1181    (relative ack number)
     
132.     Acknowledgment number (raw): 829453010
     
133.     0101 .... = Header Length: 20 bytes (5)
     
134.     Flags: 0x018 (PSH, ACK)
     
135.     Window: 6143
     
136.     [Calculated window size: 1572608]
     
137.     [Window size scaling factor: 256]
     
138.     Checksum: 0x1f91 [unverified]
     
139.     [Checksum Status: Unverified]
     
140.     Urgent Pointer: 0
     
141.     [Timestamps]
     
142.     [SEQ/ACK analysis]
     
143.     TCP payload (182 bytes)
     
144. Transport Layer Security
     
145. 
     
146. No.     Time           Source                Destination           Protocol Length Info
     
147.    4722 3907.282470    150.223.56.35         172.28.48.25          TLSv1.2  187    Application Data
     
148. 
     
149. Frame 4722: 187 bytes on wire (1496 bits), 187 bytes captured (1496 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
     
150. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
     
151. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
     
152. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 331, Ack: 1288, Len: 133
     
153.     Source Port: 49511
     
154.     Destination Port: 65230
     
155.     [Stream index: 180]
     
156.     [Conversation completeness: Complete, WITH_DATA (63)]
     
157.     [TCP Segment Len: 133]
     
158.     Sequence Number: 331    (relative sequence number)
     
159.     Sequence Number (raw): 860962017
     
160.     [Next Sequence Number: 464    (relative sequence number)]
     
161.     Acknowledgment Number: 1288    (relative ack number)
     
162.     Acknowledgment number (raw): 829453117
     
163.     0101 .... = Header Length: 20 bytes (5)
     
164.     Flags: 0x018 (PSH, ACK)
     
165.     Window: 6142
     
166.     [Calculated window size: 1572352]
     
167.     [Window size scaling factor: 256]
     
168.     Checksum: 0x9948 [unverified]
     
169.     [Checksum Status: Unverified]
     
170.     Urgent Pointer: 0
     
171.     [Timestamps]
     
172.     [SEQ/ACK analysis]
     
173.     TCP payload (133 bytes)
     
174. Transport Layer Security
     
175. 
     
176. No.     Time           Source                Destination           Protocol Length Info
     
177.    4727 3907.318009    150.223.56.35         172.28.48.25          TLSv1.2  731    Application Data
     
178. 
     
179. Frame 4727: 731 bytes on wire (5848 bits), 731 bytes captured (5848 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
     
180. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
     
181. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
     
182. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 464, Ack: 1533, Len: 677
     
183.     Source Port: 49511
     
184.     Destination Port: 65230
     
185.     [Stream index: 180]
     
186.     [Conversation completeness: Complete, WITH_DATA (63)]
     
187.     [TCP Segment Len: 677]
     
188.     Sequence Number: 464    (relative sequence number)
     
189.     Sequence Number (raw): 860962150
     
190.     [Next Sequence Number: 1141    (relative sequence number)]
     
191.     Acknowledgment Number: 1533    (relative ack number)
     
192.     Acknowledgment number (raw): 829453362
     
193.     0101 .... = Header Length: 20 bytes (5)
     
194.     Flags: 0x018 (PSH, ACK)
     
195.     Window: 6147
     
196.     [Calculated window size: 1573632]
     
197.     [Window size scaling factor: 256]
     
198.     Checksum: 0xeab5 [unverified]
     
199.     [Checksum Status: Unverified]
     
200.     Urgent Pointer: 0
     
201.     [Timestamps]
     
202.     [SEQ/ACK analysis]
     
203.     TCP payload (677 bytes)
     
204. Transport Layer Security
     
205. 
     
206. No.     Time           Source                Destination           Protocol Length Info
     
207.    4786 3908.345344    150.223.56.35         172.28.48.25          TCP      60     49511 → 65230 [FIN, ACK] Seq=1141 Ack=1618 Win=1573632 Len=0
     
208. 
     
209. Frame 4786: 60 bytes on wire (480 bits), 60 bytes captured (480 bits) on interface \Device\NPF_{CEB012EB-97C5-44ED-83D5-F65B8A3CE223}, id 0
     
210. Ethernet II, Src: ee:ff:ff:ff:ff:ff (ee:ff:ff:ff:ff:ff), Dst: Xensourc_2c:58:13 (00:16:3e:2c:58:13)
     
211. Internet Protocol Version 4, Src: 150.223.56.35, Dst: 172.28.48.25
     
212. Transmission Control Protocol, Src Port: 49511, Dst Port: 65230, Seq: 1141, Ack: 1618, Len: 0
     
213.     Source Port: 49511
     
214.     Destination Port: 65230
     
215.     [Stream index: 180]
     
216.     [Conversation completeness: Complete, WITH_DATA (63)]
     
217.     [TCP Segment Len: 0]
     
218.     Sequence Number: 1141    (relative sequence number)
     
219.     Sequence Number (raw): 860962827
     
220.     [Next Sequence Number: 1142    (relative sequence number)]
     
221.     Acknowledgment Number: 1618    (relative ack number)
     
222.     Acknowledgment number (raw): 829453447
     
223.     0101 .... = Header Length: 20 bytes (5)
     
224.     Flags: 0x011 (FIN, ACK)
     
225.     Window: 6147
     
226.     [Calculated window size: 1573632]
     
227.     [Window size scaling factor: 256]
     
228.     Checksum: 0x130e [unverified]
     
229.     [Checksum Status: Unverified]
     
230.     Urgent Pointer: 0
     
231.     [Timestamps]
     
232.     [SEQ/ACK analysis]
     

复制代码

buhuo.zip

4 天前 上传

点击文件名下载附件

下载积分: 金钱 -1

3.11 MB, 下载次数: 1, 下载积分: 金钱 -1

wireshark捕获数据

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 13:15
隔了很久才拦截到一条

您好，方便把抓包信息压缩上传论坛这边看下嘛？

---

作者: abcdwf    时间: 4 天前

火绒运营专员 发表于 2025-7-8 13:17
您好，方便把抓包信息压缩上传论坛这边看下嘛？

10楼添加了数据压缩包，捕获的时间长，数据太大了，我用ip.src == 150.223.56.35过滤了下，不知道数据全不全

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 13:24
10楼添加了数据压缩包，捕获的时间长，数据太大了，我用ip.src == 150.223.56.35过滤了下，不知道数据全 ...

好的，我们本地查验下，有进展会第一时间和您同步哈~

---

作者: abcdwf    时间: 4 天前
为何我开启wireshark捕获后，攻击就减少这么明显，莫非网络协议还能感知捕获？

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 13:27
为何我开启wireshark捕获后，攻击就减少这么明显，莫非网络协议还能感知捕获？ ...

您好，一般不会出现该情况，完整抓包方便的话可以通过QQ闪传或上传网盘的方式提供我们看下哈~

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 13:24
10楼添加了数据压缩包，捕获的时间长，数据太大了，我用ip.src == 150.223.56.35过滤了下，不知道数据全 ...

您好，方便确认下65230端口关联的是什么服务嘛？

---

作者: abcdwf    时间: 4 天前

火绒运营专员 发表于 2025-7-8 13:31
您好，一般不会出现该情况，完整抓包方便的话可以通过QQ闪传或上传网盘的方式提供我们看下哈~ ...

刚刚开始捕获就捕获到一次，应该是是完整的。

1. 时间        操作        说明        次数
   
2. 2025-07-08 13:39:59        [已拦截]          远程桌面弱口令攻击,攻击者:180.102.25.173        防护 1 次
   
3. 检测到远程桌面暴力破解,攻击者:180.102.25.173
   
4. 2025-07-08 13:26:36        [已拦截]          远程桌面弱口令攻击,攻击者:180.102.26.187        防护 2 次
   
5. 检测到远程桌面暴力破解,攻击者:180.102.26.187
   
6. 2025-07-08 13:04:38        [已拦截]          远程桌面弱口令攻击,攻击者:150.223.56.35        防护 1 次
   
7. 检测到远程桌面暴力破解,攻击者:150.223.56.35
   
8. 2025-07-08 10:38:22        [已拦截]          远程桌面弱口令攻击,攻击者:175.6.185.74        防护 1 次
   
9. 检测到远程桌面暴力破解,攻击者:175.6.185.74
   
10. 2025-07-08 10:17:58        [已拦截]          远程桌面弱口令攻击,攻击者:124.70.75.103        防护 1 次
    
11. 检测到远程桌面暴力破解,攻击者:124.70.75.103
    
12. 2025-07-08 10:09:00        [已拦截]          远程桌面弱口令攻击,攻击者:81.71.49.93        防护 3 次
    
13. 检测到远程桌面暴力破解,攻击者:81.71.49.93
    
14. 
    

复制代码

buhuo1.zip

4 天前 上传

点击文件名下载附件

下载积分: 金钱 -1

717.12 KB, 下载次数: 2, 下载积分: 金钱 -1

wireshark捕获数据1

---

作者: abcdwf    时间: 4 天前

火绒运营专员 发表于 2025-7-8 13:44
您好，方便确认下65230端口关联的是什么服务嘛？

rdp协议把原来的3389改成了65230

---

作者: abcdwf    时间: 4 天前

火绒运营专员 发表于 2025-7-8 13:49
好的好的，您这边65230端口关联的是什么服务呀？

rdp协议远程桌面服务，把原来的端口3389改成了65230

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 13:51
rdp协议远程桌面服务，把原来的端口3389改成了65230

好的，这边根据您提供的第二份抓包再看下~

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 13:44
刚刚开始捕获就捕获到一次，应该是是完整的。

您好，建议您在需要使用的端口设置ip控制规则（使用系统防火墙或火绒-ip协议控制）
可以参考下列建议进行防护：
1、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。
2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。
3、采用高强度的密码，避免使用弱口令密码和统一密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。
4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。
5、及时更新系统和为主机打补丁，修复相应的高危漏洞
6、使用移动存储设备时，遵循先查杀，后使用原则
7、对重要文件和数据（数据库等数据）进行定期非本地备份。
8、勿随意打开陌生邮件，谨慎下载陌生邮件附件，不从不明网站下载软件，若非必要，应禁止启用Office宏代码。
9、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在具备专业安全防护能力的云服务器。

---

作者: abcdwf    时间: 4 天前

火绒运营专员 发表于 2025-7-8 14:07
您好，建议您在需要使用的端口设置ip控制规则（使用系统防火墙或火绒-ip协议控制）
可以参考下列建议进行 ...

好的，感谢大哥

---

作者: 火绒运营专员    时间: 4 天前

abcdwf 发表于 2025-7-8 14:09
好的，感谢大哥

您客气，后续有问题您再联系我们哈~

---

欢迎光临 火绒安全软件 (https://bbs.huorong.cn/)

Powered by Discuz! X3.4