Переработал встречающийся в интернете сценарий блокировки атакующих IP_адресов. Изначальный вариант работал интервалами времени, мой работает оперативно, атакующий блокируется при превышении счётчика неудачных попыток входа.
- На диске ведётся журнал источников атаки с указанием времени попыток и логинов;
- Блокировка происходит при превышении счётчика неудачных попыток, произошедших на протяжении указанного количества дней.
- Системные требования: включенный брандмауэр Windows, Powershell. Регистрация времени изменения файлов не отключена. Обычно это работает с настройками по умолчанию начиная с Windows_10.
- В более старых версиях Windows сценарий сможет лишь регистрировать параметры атак без осуществления блокировок, но его можно комбинировать, например, с IDDS Cyberarms Intrusion Detection.
- Для установки, удаления сценария и сброса созданных им ограничений требуются права администратора;
- Сценарий удаляется вручную. Руководство прилагается;
- Блокировка происходит не моментально при превышений количества попыток, а в течение непродолжительного времени (менее минуты). Логика исходного сценария более применительна к десяткам минут.
- Быстрая реакция;
- С помощью журнала можно поймать замедленных атакующих;
- Не требуется установка дополнительного ПО, нагрузка на систему незначительная.
- Ручная разблокировка атакующих адресов;
- Отсутствуют предупреждения о блокировках;
- Отсутствует ротация журнала.
Скачать “RDP_Attack_Reaction”
RDP_Attack_Reaction.zip – Загружено 574 раза – 5,32 КБ