Найти в Дзене
1156 подписчиков

Защита Windows от брутфорс и DDoS атак с помощью утилиты IPBan


Open-source утилита IPBan является Windows аналогом известной утилиты Fail2Ban, которая знакома любому Linux админу.
IPBan позволяет анализировать текстовые лог файлы приложений и/или журналы событий Windows, обнаруживать там подозрительную/нежелательную активность, извлекать IP адреса из логов и блокировать эти IP на определенное время в файерволе Windows.
Для установки службы IPBan в Windows достаточно выполнить команду:
$ProgressPreference = 'SilentlyContinue'; [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; iex ((New-Object system.net.webclient).downloadstring('https:/...s1'
ℹ️ Из коробки IPBan следит за логами RDP, OpenSSH, MSSQL, Exchange, RDWeb, RRAS и еще некоторых служб, блокируя IP адреса, с которых выполнится попытки подбора паролей. IPBan можно использовать для анализа логов практически любой службы или приложения Windows, которое пишет логи доступа в текстовые файлы или Event Viewer.

✅ В статье мы рассмотрели, как использовать IPBan для противодействия реальной DDoS атаке на веб сайт IIS, запущенный на Windows Server. Показано, как найти аномалии в логах IIS, создать кастомные regexp паттерны для их детектирования IPBan и временно блокировать обнаруженные IP адресов в Windows Firewall. В результате внедрения правил IPBan получилось остановить DDoS на веб сервер, заблокировав в автоматическом режиме около 5000 IP адресов.

Защита Windows от DDoS и брутфор атак с помощью IPBan
Защита Windows от брутфорс и DDoS атак с помощью утилиты IPBan Open-source утилита IPBan является Windows аналогом известной утилиты Fail2Ban, которая знакома любому Linux админу.
1 минута