利用IPBAN拦截RDP异常错误的IP地址

2020/9/19 18:12:29      点击:

系统经过设置以后,利用某些RDP爆破的软件,会被WINDOWS自动识别到异常数据流,然后自动断开连接。所以没多少风险,但是在系统的日志中,总是出现大量的类似这样的错误日志记录:终端服务器安全层在协议流中检测到错误,并已取消客户端连接。 客户端 IP: 183.64.78.130。因此有必须进一步提高安全策略,让这些扫描的人彻底不能连接RDP的端口。以前给大家介绍过了一个WINDOWS下自动拦截扫描密码的软件,就是IPBAN,类似LINUX下的FAIL2BAN功能,可以自由设置拦截才时间查找区间,次数,还可以设置白名单IP等等,是一个非常不错的软件,占用系统资源非常非常的少。建议所有使用WINDOWS系统的人,都可以安装一下。

经过反复的测试,加入下面的代码,重启IPBAN即可拦截这个多次连接RDP出现错误的IP地址:

      <Group>
        <Keywords>0x80000000000000</Keywords>
        <Path>System</Path>
        <Expressions>
          <Expression>
            <XPath>//Data</XPath>
            <Regex>\\Device\\Termdd</Regex>
          </Expression>
          <Expression>
            <XPath>//Data</XPath>
            <Regex>
              <![CDATA[
                (?<ipaddress>.+)
              ]]>
            </Regex>
          </Expression>
        </Expressions>
      </Group>