RDP爆破攻击防护不起作用

ruanxiaorui · 发表于 7 天前

看事件查看器，一分钟20条审核失败记录：
帐户登录失败。

使用者:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

登录失败的帐户:
安全 ID: NULL SID
帐户名: backupuser
帐户域:

失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xC000006D
子状态: 0xC0000064

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名: WIN-SJ1IDGQKBBO
源网络地址: 185.243.96.34
源端口: 0

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

火绒啥动静没有，频率调成高也一样。不会是监控的是默认3389端口吧？我是自定义端口就不生效吗？最后还得用脚本去统计IP次数拦截

火绒运营专员 · 发表于 7 天前

您好，您这边的暴破日志方便导出这边看下吗？

ruanxiaorui · 发表于 7 天前

火绒运营专员发表于 2025-9-8 15:52
您好，您这边的暴破日志方便导出这边看下吗？

事件查看器日志

火绒运营专员 · 发表于 7 天前

ruanxiaorui 发表于 2025-9-8 15:54
事件查看器日志

您好，出现此问题的原因为：暴破频率没有达到火绒的拦截标准，所以没有触发拦截。您现在可以将出现攻击的ip加入ip黑名单或者设置ip协议，这样所有的访问都会被阻止。

ruanxiaorui · 发表于 7 天前

火绒运营专员发表于 2025-9-8 16:01
您好，出现此问题的原因为：暴破频率没有达到火绒的拦截标准，所以没有触发拦截。您现在可以将出现攻击的 ...

灵敏度低，中，高对应多少频率呢

火绒运营专员 · 发表于 7 天前

ruanxiaorui 发表于 2025-9-8 16:03
灵敏度低，中，高对应多少频率呢

您好，灵敏度最高的话也要每秒5次才可以触发拦截，我看咱们日志是每3秒攻击一次，所以才未触发拦截。

ruanxiaorui · 发表于 7 天前

火绒运营专员发表于 2025-9-8 16:11
您好，灵敏度最高的话也要每秒5次才可以触发拦截，我看咱们日志是每3秒攻击一次，所以才未触发拦截。 ...

那我这种情况有啥建议？每次还要自己打开事件查看器去看日志，拿到IP再录入黑名单，有时候很久都不去看根本发现不了

火绒运营专员 · 发表于 7 天前

ruanxiaorui 发表于 2025-9-8 16:13
那我这种情况有啥建议？每次还要自己打开事件查看器去看日志，拿到IP再录入黑名单，有时候很久都不去看根 ...

您好，目前咱们这边建议您把出现攻击的IP加入IP黑名单或者设置IP协议。

ruanxiaorui · 发表于 7 天前

火绒运营专员发表于 2025-9-8 16:20
您好，目前咱们这边建议您把出现攻击的IP加入IP黑名单或者设置IP协议。

加入黑名单会产生很多日志

火绒运营专员 · 发表于 7 天前

ruanxiaorui 发表于 2025-9-8 16:22
加入黑名单会产生很多日志

您这边可以开启游戏模式来阻止窗口的弹出，但是进入游戏模式不会自动升级病毒库、windows更新和其他的病毒提醒弹窗。