Windows 2008 大量4625且无来源地址端口号的处理

一台海关CA认证服务器,开放远程桌面给外部厂商维护使用.
已在firewall上做了nat,使用了一个不常用的端口转换掉3389,但还是没有逃过被外网攻击,日常巡检中发现大量3389的登录失败,Event ID 4625,最重要的来源地址及端口全是空的.

  1. 安装wireshark
  2. 抓包看攻击来源
  3. 确认为从外网进来
  4. 改掉外网端口,世界清静了.
    在这里插入图片描述
    小结:
    Firewall 的入侵检测功能待确认
    外网攻击一般会利用僵尸网络,封来源IP的方法收效不大,不断会有新IP进来
    Firewall 的防端口扫描阈值需要确认

你可能感兴趣的:(Windows 2008 大量4625且无来源地址端口号的处理)