【发布时间】:2011-11-15 13:14:28
【问题描述】:
我有一个 SQL 2008 机器,它最近成为对“sa”帐户进行暴力攻击的目标(傻孩子......)。是否可以量化在同样被禁用的帐户上使用错误密码登录 SA 的单次尝试的服务器负载?我最感兴趣的是 CPU 负载,因为那个盒子已经脱机,所以我必须追溯。我不必有一个确切的值,只需一个可以用作启发式并推断出请求数量的值。
【问题讨论】:
-
为什么您的 SQL Server 会暴露给脚本小子?您的首要任务是让该服务器脱离任何面向公众的节点。如果它需要对整个 Internet 开放(实际上是为了保护您的整个网络),最好不要尝试量化它们造成的负载(这就像试图弄清楚是否有两只北极熊或三只北极熊咬掉了你的手臂),但要投资一些能够检测和防止入侵的硬件。在我的最后一场演出中,我们在 Mazu 装备上取得了非常好的成功。妈祖已被 Riverbed riverbed.com 收购
-
好吧,除非您积极收集性能指标并让所有日志返回以计算登录请求/登录失败等情况,否则我认为您无法进行事后分析。跨度>
-
我同意,事后很难弄清楚。如果您有完整的日志,那么编写一个 perl 脚本来计算与特定模式匹配的日志中的条目是相当简单的,因此您可以获得真正的计数,而不是尝试进行模糊数学运算。此类信息可用于设计低于可检测阈值的攻击,因此无论如何在公共场合真正进入它可能是危险的。
标签: sql-server-2008 brute-force sa