Wazuh检测爆破攻击

admin 2025年3月26日16:02:20评论9 views字数 1233阅读4分6秒阅读模式
点击蓝字,立即关注

1.简介

1.1 功能简介

暴力破解是一种常见的攻击媒介,威胁参与者使用它来获得对端点和服务的未经授权的访问。Linux 端点上的 SSH 和 Windows 端点上的 RDP 等服务通常容易受到暴力攻击。Wazuh 通过关联多个身份验证失败事件来识别暴力攻击。

1.2 测试环境

端点

描述

Kali

执行爆破攻击,安装爆破工具

Ubuntu 22.04

SSH攻击受害者,开启SSH服务

Windows 10

RDP攻击受害者,开启RDP服务

2.爆破测试

2.1SSH爆破测试

1)通过SSH爆破Ubuntu

使用账号admin和密码字典组合方式进行爆破

hydra -t 4 -l ubuntu -P /usr/share/wordlists/rockyou.txt.gz ssh://192.168.208.151
Wazuh检测爆破攻击

2)查看Centos爆破日志

查询语法:rule.id:(5551 OR 5712 OR 5710 OR 5711 OR 5716 OR 5720 OR 5503 OR 5504)

Wazuh检测爆破攻击

3)SSH爆破响应(Wazuh服务器)

  <active-response>
    <command>firewall-drop</command>
    <location>local</location>
    <rules_id>5763</rules_id>
    <timeout>180</timeout>
  </active-response>

重启wazuh服务

sudo systemctl restart wazuh-manager

测试是否连通

ping 192.168.208.151

查看iptables规则

iptables -nvL

2.2RDP爆破测试

1)通过RDP爆破Windows

hydra -l admin -P /usr/share/wordlists/rockyou.txt.gz rdp://192.168.208.132
Wazuh检测爆破攻击

2)查看Windows爆破日志

搜索语法:rule.id:(60122 OR 60204)

Wazuh检测爆破攻击

3)RDP爆破响应(Wazuh服务器)

  <active-response>
    <command>netsh</command>
    <location>local</location>
    <rules_id>60204</rules_id>
    <timeout>180</timeout>
  </active-response>

开启windows的ICMP规则

netsh advfirewall firewall add rule name="Allow ICMPv4-In" protocol=icmpv4:8,any dir=in action=allow

删除ICMP规则

netsh advfirewall firewall delete rule name="Allow ICMPv4-In"

测试ping是否连通

ping 192.168.208.132
Wazuh检测爆破攻击
END
Wazuh检测爆破攻击
每一次深夜调试代码的坚持,都在为未来的安全防线浇筑钢筋混凝土。

原文始发于微信公众号(安全孺子牛):Wazuh检测爆破攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月26日16:02:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Wazuh检测爆破攻击https://cn-sec.com/archives/3880906.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息