本帖最后由 Chang_Feng 于 2023-2-20 10:57 编辑
暴破攻击防护功能主要是针对一些常见的暴力破解攻击进行防护,例如:RPC暴破、SQL Server暴破、SMB暴破。
典型应用: 1. 利用hydra暴力破解工具进行SQL Server暴破攻击
攻击演示: 攻击者通常通过暴力破解工具攻击受害者终端,尝试获取登录密码,在成功完成暴破后,攻击者可以使用登录密码登录相应的网络服务,下载执行恶意代码,造成更严重的安全威胁。 1.在被攻击终端中安装SQL Server并开启相应的网络设置,确保SQL Server服务器可以被远程登录。 2.将hydra暴力破解密码字典中的密码,设置为被攻击终端SQL Server的sa账号密码(为了确保暴破成功)。如下图所示:
3.运行hydra暴力破解工具,等待攻击结果。如下图所示:
4.攻击完成后,hydra显示获取到一个有效密码。如下图所示:
防御测试: 1.在被攻击终端上安装火绒5.0,确保远程登录保护功能开启。
2. 在被攻击终端中安装SQL Server并开启相应的网络设置,确保SQL Server服务器可以被远程登录。 3.如前文将数据库密码设置为暴破字典中的密码后,使用暴力破解工具进行攻击。查看火绒拦截日志,如下图所示:
根据火绒拦截日志得出 1.通过本地IP和端口,可以得知被攻击的IP地址为192.168.1.145,被攻击的网络服务绑定端口为1433(对应SQL Server服务端口) 2.通过远程地址,可以得知发起攻击的终端IP为:192.168.1.197
总结: 今年来,利用暴力破解进行渗透攻击的病毒威胁不断增多,如勒索病毒Crysis、GandCrab都曾经使用过暴力破解攻击的方式进行病毒传播。远程登录保护功能可以很好的防范一些较为常见的暴力破解攻击方式,从而降低终端被通过暴力破解入侵的可能性。
| 
收藏
