1.简介
1.1 功能简介
暴力破解是一种常见的攻击媒介,威胁参与者使用它来获得对端点和服务的未经授权的访问。Linux 端点上的 SSH 和 Windows 端点上的 RDP 等服务通常容易受到暴力攻击。Wazuh 通过关联多个身份验证失败事件来识别暴力攻击。
1.2 测试环境
端点 |
描述 |
Kali |
执行爆破攻击,安装爆破工具 |
Ubuntu 22.04 |
SSH攻击受害者,开启SSH服务 |
Windows 10 |
RDP攻击受害者,开启RDP服务 |
2.爆破测试
2.1SSH爆破测试
1)通过SSH爆破Ubuntu
使用账号admin和密码字典组合方式进行爆破
hydra -t 4 -l ubuntu -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.208.151
2)查看Centos爆破日志
查询语法:rule.id:(5551 OR 5712 OR 5710 OR 5711 OR 5716 OR 5720 OR 5503 OR 5504)
3)SSH爆破响应(Wazuh服务器)
<active-response>
<command>firewall-drop</command>
<location>local</location>
<rules_id>5763</rules_id>
<timeout>180</timeout>
</active-response>
重启wazuh服务
sudo systemctl restart wazuh-manager
测试是否连通
ping 192.168.208.151
查看iptables规则
iptables -nvL
2.2RDP爆破测试
1)通过RDP爆破Windows
hydra -l admin -P /usr/share/wordlists/rockyou.txt.gz rdp://192.168.208.132
2)查看Windows爆破日志
搜索语法:rule.id:(60122 OR 60204)
3)RDP爆破响应(Wazuh服务器)
<active-response>
<command>netsh</command>
<location>local</location>
<rules_id>60204</rules_id>
<timeout>180</timeout>
</active-response>
开启windows的ICMP规则
netsh advfirewall firewall add rule name="Allow ICMPv4-In" protocol=icmpv4:8,any dir=in action=allow
删除ICMP规则
netsh advfirewall firewall delete rule name="Allow ICMPv4-In"
测试ping是否连通
ping 192.168.208.132
原文始发于微信公众号(安全孺子牛):Wazuh检测爆破攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论