我在Windows服务器上收到数千次黑客攻击,导致安全日志错误4625条目。 黑客正在使用随机IP,所以通常的RDPguard,Syspeace等工具无法正常工作。 端口3389在服务器上closures,所以我很惊讶持续的攻击。
我想弄清楚攻击者连接到本地端口的尝试,但是我发现的所有自动化工具只能看到IP。 而且默认的Windows服务器日志也只显示IP和远程端口,而不是本地端口。
我知道我可以手动查看Wireshark日志,但这是劳动密集型的。 我想find一个工具来监视login失败,并简单地确认与本地端口,所以我知道什么端口closures。 理想情况下,这不会产生巨大的日志或需要不断的监测; 该工具最好由不良login引起,并收集端口和服务信息。 有任何想法吗?
我认为你最好的工具是Windows本身。 由于您已经启用了Windows防火墙,因此您可以使用其日志logging来查看和监控您想要的stream量。
事件日志:详细信息位于此Technet的底部https://technet.microsoft.com/zh-cn/library/dd421717(v=ws.10).aspx
Windows防火墙日志:或者您可以在Windows防火墙中启用日志logging,并将其转储到文件。 https://www.howtogeek.com/220204/how-to-track-firewall-activity-with-the-windows-firewall-log/
或者Windows防火墙下的监控部分,具有高级安全性。
使用Microsoftnetworking监视器: https : //www.microsoft.com/en-in/download/details.aspx?id = 4865
对于进一步的疑难解答,您可以在Active Directory中审核成功的login/注销和失败的login尝试: https : //www.lepide.com/blog/audit-successful-logon-logoff-and-failed-logons-in-activedirectory/
查看事件跟踪器了解更多详情。
另外,您可以使用端口监视工具。 你可以search它有很多在那里。