HSS如何拦截暴力破解？

可检测的暴力破解攻击类型

HSS可检测到的暴力破解攻击类型如下：

• Windows系统 ：SQL Server(暂不支持自动拦截) 、RDP
• Linux系统：MySQL、vfstpd、SSH

如果您的服务器上安装了MySQL、vfstpd或SSH，开启主机安全防护之后，Agent会在iptables中新增一些规则，用于暴力破解防护。当检测到暴破行为后会将暴破IP加入到阻断列表里面。

• MySQL新增规则：IN_HIDS_MYSQLD_DENY_DROP
• vfstpd新增规则：IN_HIDS_VSFTPD_DENY_DROP
• SSH新增规则：如果主机上的SSH不支持TCP Wrapper的拦截方式，SSH会使用iptables进行拦截，因此会在Iiptables中新增IN_HIDS_SSHD_DENY_DROP规则；如果您配置了SSH登录白名单，则会在Iiptables中新增IN_HIDS_SSHD_DENY_DROP、IN_HIDS_SSHD_WHITE_LIST两条规则。

以MySQL为例，新增的规则如图 MySQL新增规则所示。

图1 MySQL新增规则

暴力破解拦截原理

暴力破解是一种常见的入侵攻击行为，通过暴力破解或猜解主机密码，从而获得主机的控制权限，会严重危害主机的安全。

通过暴力破解检测算法和全网IP黑名单，如果发现暴力破解主机的行为，HSS会对发起攻击的源IP进行拦截，默认拦截时间为12小时。如果被拦截的IP在默认拦截时间内没有再继续攻击，系统自动解除拦截。同时HSS支持双因子认证功能，双重认证用户身份，有效阻止攻击者对主机账号的破解行为。

您可以配置常用登录IP、配置SSH登录IP白名单，常用登录IP、SSH登录IP白名单中的IP登录行为不会被拦截。

使用鲲鹏计算EulerOS（EulerOS with Arm）的主机，在遭受SSH账户破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警；SSH登录IP白名单功能也对其不生效。

告警策略

• 如果黑客暴力破解密码成功，且成功登录您的服务器，会立即发送实时告警通知用户。
• 如果检测到暴力破解攻击并且评估认为账户存在被破解的风险，会立即发送实时告警通知用户。
• 如果该次暴力破解没有成功，主机上也没有已知风险项（不存在弱口令），评估认为账户没有被破解的风险时，不会发送实时告警。企业主机安全会在每天发送一次的每日告警信息中通告当日攻击事件数量。您也可以登录企业主机安全控制台“检测与响应 > 安全告警事件”页面实时查看拦截信息。

查看暴力破解检测结果

1. 登录管理控制台。
2. 在页面左上角选择“区域”，单击，选择“安全与合规 > 企业主机安全”，进入主机安全平台界面。
3. 在左侧导航栏选择“检测与响应 > 安全告警事件”，进入安全告警事件页面。
4. 选择查看主机或容器的暴力破解检测结果。
   • 查看主机的暴力破解检测结果
     1. 选择主机告警事件页签，进入主机告警事件页面。
     2. 在左侧类型栏，选择“用户异常行为 > 暴力破解”，查看防护的主机上的暴力破解告警事件记录。
     3. 单击已拦截IP区域的数值，可查看已拦截的攻击源IP、攻击类型、拦截状态、拦截次数、开始拦截时间和最近拦截时间。
        • 已拦截：表示该暴力破解行为已被HSS成功拦截。
        • 已解除：表示您已解除对该暴力破解行为的拦截。
          

          默认拦截时间为12小时。如果被拦截的IP在默认拦截时间内没有再继续攻击，系统自动解除拦截。

   • 查看容器的暴力破解检测结果
     1. 选择容器告警事件页签，进入容器告警事件页面。
     2. 在左侧类型栏，选择“用户异常行为 > 暴力破解”，查看防护的容器上的暴力破解告警事件记录。

处理拦截IP

• 如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险项。

  建议开启双因子认证功能，并配置常用登录IP、配置SSH登录IP白名单。

• 如果发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被封禁），可以手动解除拦截IP。
  

  如果您手动解除被拦截的可信IP，仅可以解除本次HSS对该IP的拦截。如果再次发生多次密码输错，该IP会再次被HSS拦截。