asp.net windows服务检测进程攻击,过滤掉该IP地址
0
最佳答案
0
针对这种攻击向自己开发window服务的监控防御是很脆弱的,如果服务器存在重要数据,不推荐,这里给出三个建议:
1. 有针对安全的经费情况请第三方安全公司或者做安全的第三方团队/个人给出解决方案。
2. 使用开源/免费(选择有点知名度的)安全软件,这类软件网上不少,针对你这种类型的攻击足矣
3. 自己开发,window服务肯定没用,应该考虑从网络层做过滤,网络过滤驱动/或者最简单的网络HOOK技术来实现访问的过滤
收获园豆:60
其他回答(4)
0
既然是固定 ip 直接防火墙阻止不行吗?
收获园豆:20
这样只是亡羊补牢,我需要在受到攻击时监测,自动断开连接。
@小小西-:
嗯 算是个思路吧 你得先看你要防止的攻击方式是什么,这种攻击方式的攻击原理是什么,你才能找出对策去针对该种攻击去做什么样的事,
一些猜测,密码被破是不是被暴力破解了?或者 sqlserver 被停掉了 是不是注入之类的?
按你说的 总不能在每个页面上都加上一段代码判断 ip是不是它 是他你就不反会请求了。
@xiaoxiao刀: 目前我从服务器日志看到的是 ip地址来自北京市海淀区但是我不知道是不是真机,这个逗逼连续破解我的服务器三天,平均1秒钟刷2到3次,远程登录密码,sqlserver密码都被搞掉了。
@小小西-:
一看就是那种跑字典的工具,扫到你远程桌面端口开着了,就开始暴力跑密码字典,你直接防火墙过滤就 ok了
还有就是你远程桌面端口完全可以 指定ip开放 你别对任何ip都开放
0
这个是一家安全公司或者一个高级安全专家才能做好的事,你想一段代码搞定,那就不是菜鸟了,是大大神了。
收获园豆:20
额,好吧,那请问有没有这种免费的软件能防止攻击? 我对网络安全差不多是一无所知,我需要能预防攻击的 免费的软件,注意是免费的。
0
如果直接db被攻破了,可能是站点上有注入漏洞,你把你iis的日志拉下来,用logparser找一下,看下有没有请求url较长的或者包含一些sql注入关键字的query。
其次可能你站点已经被挂马了,对你服务器做一次杀毒,检查下线上执行文件与你发布包文件的差异(文件数量,文件大小)
再检查下你站点是否有漏洞的功能,比如富文本编辑器(以前有个啥好像可以直接读到web.config)
回收数据库账户权限,将用户权限最小化,更换密码,检查代码中所有db交互的语句是否有被注入的风险(拼sql)。
检查系统账号,关闭所有非必要账号,更换密码,将站点运行账户权限降低,检查异常机器的系统日志和应用日志,确认无特殊操作(你的情况不像被登录,否则db应该被整个拖走)。更改你站点或服务的业务账号密码,特殊情况下可以把相关功能直接从外网可访问移除。
更新系统,将windows机器放到内网,仅允许特定端口访问(如80,8080),关闭外网的远程登录端口3389和sqlserver 1433,仅允许内网通过跳板机等方式访问,外网访问通过反向代理暴露站点或服务。
在其他机器上找些扫描软件对你站点进行检查,软件比较多,甚至ms自己好像也有。
0
针对这种的,建议用安全狗,里面有个规则1433,除你指定的IP可以连接以外,其他不让连接,他就连不了,或者你更改SQL默认端口号,让他慢 慢去猜你端口,或者你的SQL密码搞复杂一些!
