Answers:
我写了一个程序来阻止IP地址,就像几年前您所要求的一样,但它是作为客户的工作来做的。由于我今晚结束了一些“业余”时间,因此我选择从头开始重新实现整个过程,编写一些有用的文档,并通常使其成为一个可展示的程序。既然我从多个人那里听说过,这似乎很值得,这是一件方便的事情。希望您和社区的其他成员可以从中受益。
sshd_block是一个VBScript程序,用作WMI事件接收器,以接收sshd记录的Windows事件日志条目。它解析这些日志条目并对其进行如下操作:
如果IP地址尝试使用标记为“立即禁止”的用户名登录,则会立即禁止该IP地址。
如果IP地址尝试登录的次数超过给定时间段内允许的登录次数,则IP地址被禁止。
与重复登录尝试关联的“立即禁止”用户名和阈值可以在脚本的“配置”部分中进行配置。默认设置如下:
一秒钟之后,所有在禁止时间内被禁止的IP地址都将被禁止(通过从路由表中删除黑洞路由)。
编辑:
自2010年1月20日起,我已更新代码以支持使用Windows Vista / 2008/7/2008 R2上的“高级防火墙”来通过创建防火墙规则来对流量进行黑屏处理(这更符合“ fail2ban”的行为)。我还添加了一些其他匹配字符串,以捕获“无效用户”而非“非法用户”的OpenSSH版本。
在Linux上,denyhosts可以做到这一点,无法告诉您它是否可以在Windows / Cygwin上运行。试试看。
这个很有趣,我们目前正在评估此解决方案:
Syspeace与Windows紧密合作,以最佳性能检测可能的威胁。持续监视事件日志中的事件是否有任何可疑行为。如果事件被认为是对系统的威胁,则Syspeace会通过检查内部规则库进入下一个级别,该内部规则库仅阻止IP地址并将规则添加到Windows防火墙。
本地白名单
用户可以始终将IP地址添加到本地白名单中,例如,防止阻止任何内部网络或临时添加单个PC。请谨慎使用,因为此列表中的任何IP都被Syspeace视为可信任的,并且将始终被忽略。
本地黑名单
Syspeace会将所有威胁自动添加到“本地黑名单”中。您始终可以查看黑名单,并根据需要添加或删除它们。但是,我们建议您不要对此列表进行任何更改,因为您可能会意外地为未知的黑客铺路。
全球黑名单
Syspeace的一个关键功能是可以预先阻止已知的全局列入黑名单的IP地址。通过选择此选项,Syspeace会将全局黑名单导入到您的客户端上并采取相应的措施,只需按一下按钮,即可将所有全局黑名单IP地址添加到防火墙规则集中。
讯息传递
每当发生重要事件,启动或停止服务,在防火墙中放置规则或从防火墙中删除规则,与中央许可证的通信状态以及全局黑名单服务器发生更改时,Syspeace都可以将邮件发送给适当的人员您的组织。
报告书
在发生重要事件时获取电子邮件可能会很好,但是有时您也想获取摘要。Syspeace会汇总有关系统上所有攻击尝试的每日报告,并向您发送包含该信息的消息。Syspeace还以相同的方式编辑每周报告。
www.syspeace.com