Rdp
RDP 伺服器受到攻擊;使用的 IP 地址是我們的伺服器地址
我已經為遠端桌面訪問設置了一個 Windows 2016 伺服器,並安裝了 RDPGuard 來阻止暴力攻擊。這幾天執行良好,RDPGuard 屏蔽了一些 IP 地址。
然而幾天前我注意到 RDPGuard 跳過了一些登錄嘗試,因為源地址是伺服器的 IP 地址。這現在已經發展到我每秒看到幾次登錄嘗試,其中源地址是伺服器的 IP,使用的登錄名來自名稱字典,例如 JOHN、CARMEN、LISA 等。仍然偶爾嘗試來自其他 IP 地址,但大多數使用本地 IP 地址。事件查看器顯示與 RDPGuard 相同的資訊,即本地 IP 作為源地址,因此它似乎不是 RDPGuard 的故障。
有誰知道攻擊者如何欺騙我們伺服器的 IP,以及如何防止這種情況發生?
問題解決了——我們也在使用 Ericom 的 AccessNow 產品,我們發現從這裡登錄失敗的嘗試導致伺服器 IP 地址成為源,因為原始 IP 不可用。這在我們以前使用 AccessNow 的伺服器上沒有發生,因此可能是配置更改造成的。