我的服务器运行Windows XP SP3,port 3389为远程桌面打开
security日志文件中的每一天都有许多错误登录尝试的条目。
我想编写一个简单的程序来监视该端口上的传入连接,并在防火墙上添加一个条目来阻止这些暴力攻击。我找到了一个用C#编写的程序,它读取日志文件并过滤掉worngs登录尝试:ID 529。不幸的是,在Windows XP中,日志文件并不包含尝试的源IP。有没有办法找到这个IP?
答案 0 :(得分:3)
这并没有真正回答这个问题,但您可以通过更改远程桌面端口来稍微模糊系统。你有几个选择。
如果它位于路由器后面,您可以更改从外部进入的端口,并使用正常端口3389将其重定向到您的系统。
如果您的系统直接连接到互联网,或者您只是想因其他原因更改本地端口,则可以将RDP侦听端口更改为注册表中的另一个端口。 它应该在HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ TerminalServer \ WinStatio中 NS \ RDP-TCP \ PORTNUMBER。
有关RDP端口更改的信息http://support.microsoft.com/kb/306759
编辑:对于您的原始问题,您可以使用wireshark之类的东西,让它转储日志并通过C#应用程序读取它们。
答案 1 :(得分:1)
您是否不仅可以将列入白名单的IP地址连接到远程桌面,还可以完全控制谁能够成功访问系统?这会让这个小应用程序写不出来吗?
答案 2 :(得分:0)
您可能希望创建自己的应用程序来监视与计算机的活动连接(可以查看CodeProject article on how to do this),然后将其与读取日志文件的程序结合使用。当程序在日志文件中找到匹配项时,它可以add a rule to the firewall。
答案 3 :(得分:0)
听起来你正在寻找IDS或IPS系统,有些建议是