外部主機對內部進行密碼暴力破解攻擊

wenchan 2009-11-18 08:53:01 ‧ 9456 瀏覽

遇到"外部主機對內部進行密碼暴力破解攻擊"請問各位大大該如何應對?
攻擊的主機 United States 71.115.188.34
ip封鎖應該是沒用,內部電腦都有安裝防毒軟體,也有防火牆,被攻擊的主機是有ad,dns,exchange等服務

557557 iT邦新手 4 級 ‧ 2009-11-19 16:47:09 檢舉

還可以寫信去至那IP的ISP業者去反應一下

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

jackytsao

iT邦研究生 1 級 ‧ 2009-11-18 09:04:31

最佳解答

如果已知特定IP主機
建議還是先將該IP列入黑名單擋掉
它可能會變換IP
但總不能就這樣放著吧

回應
分享
檢舉

登入發表回應

zyman2008

iT邦大師 6 級 ‧ 2009-11-18 18:10:49

Exchange 不要直接開放外部可以連 POP3/SMTP, 請改用 RPC over HTTPS.
若還是堅持要讓員工以 POP3/SMTP 方式連, 請改用 VPN 方式連入.

回應 3
分享
檢舉

cklin iT邦新手 2 級 ‧ 2009-11-19 10:11:36 檢舉

+1
1.封鎖攻擊來源IP
2.開放必要的 Service Port 就好，其他沒用的就讓Firewall擋掉
3.改用其他安全加密的Service Port 如 RPC over HTTPS
4.如果有多的主機，強烈建議將AD/DNS 與 Exchange 分離，微軟KB與論壇文章中都有提到，這兩個server 在一起時，如果要復原任何一個都是一件困難的工作。
5. 如果還有閒時間，發一封信給攻擊來源的網域管理者，有時候會有效果喔～

wenchan iT邦新手 5 級 ‧ 2009-11-19 13:42:27 檢舉

1.Exhange 只有開放用OWA連線,其他的都沒有開
2.封鎖IP是在防火牆poilcy 做deny的設定嗎?
3.因買的是windows sbs的版本所以AD DNS Exchange都在同一台,無法份離,有提出要分開,但.....公司不願花錢...無奈~
4.怎麼知道來源的網域管理者e-mail address