V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
huaes
V2EX  ›  宽带症候群

路由器还是别开任何端口转发到 RDP 服务了,有事直接 openVPN 连回内网

  •  
  •   huaes · 76 天前 · 4773 次点击
    这是一个创建于 76 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之前图方便,路由器六万高端口转发 3389 到家里一台电脑,后来无聊看了眼事件查看器,被隔壁 IP 破解了半个月 RDP 密码。我路由器每三天重启,光 IP 段就有 5 个,关闭端口转发之后消停一个月了,去年就被黑过一次四块硬盘数据全给抹了。 隔壁真是穷疯了,没事查查你们的 SSH 和 RDP 登录记录吧,我是防火墙禁用加 openVPN 内网访问了

    第 1 条附言  ·  76 天前
    隔壁是隔壁国家,高端口转发和改默认端口没区别,但是会被检测协议的。之前被黑也不是装的 windows server 没默认用户名一说, 我猜他们是瞄准特定 IP 段不断扫描攻击的
    74 条回复    2022-06-21 16:35:12 +08:00
    i3x
        1
    i3x  
       76 天前 via Android
    怕被扫就各种 windows 防火墙。白名单。增加你可能的访问来路网段。例如运营商的宽带以及数据的公网 ip 即可。。。被黑只能是因为弱密或者不打补丁。有能力自己搞出 0day 大杀特杀的也没必要针对你一个,要干就 5 分钟扫描全球全部控制好了,随随便便分分钟摧毁整个互联网。
    系统的防火墙太难设置或者技术不好,没有洁癖的就随便用一些服务器安全软件设置。可以设置的名单就更加全面了。比如限制连接的计算机名,或者需要特定二次验证等等。
    而改端口相对来说已经没有什么用了。

    还有,开启了 rdp 安全,其实很多扫爆软件已经没用了,不知道你开了没。。。

    根据我的白名单方法。除非发起者跟你同地区,如果你在国内,发起者跟你同地区,虽然你没有任何损失,但是你可以报警,确定会迅速定位扫爆发起者。。对网安来说相当于白给 KPI 。。。。。这种情况可大可小,就看怎么处理了。完整流程只要半个小时就找出发起者了。
    chengfeng1992
        2
    chengfeng1992  
       76 天前
    https://www.v2ex.com/t/821458
    上次自己亲身经历。
    参与暴力破解的机器应该都是肉鸡。
    虽说没受什么实际损失,我的真的怕了,也真的改了。
    jsyangwenjie
        3
    jsyangwenjie  
       76 天前
    直接用 tailscale 或者 wireguard ?
    uqf0663
        4
    uqf0663  
       76 天前 via Android
    家里公网 ip 高端口开着 rdp 十来年了,5 字母用户名(不是 admin )+5 字母 3 数字密码,目前暂未被成功搞过,主要在外面各种环境想随时随地可以连回家,搞 vpn 会不方便
    fateofheart
        5
    fateofheart  
       76 天前
    rdp 直接白名单放 vps 的 ip ,跳板访问,vps 的 ssh 禁止非证书登陆。。。随便扫,能进去算我输
    cloudsigma2022
        6
    cloudsigma2022  
       76 天前
    wireguard
    advancejar
        7
    advancejar  
       76 天前
    rdp 开了多年了,端口换成 5 位数字的
    jemyzhang
        8
    jemyzhang  
       76 天前 via Android
    rustdesk+自建 relay ,值得拥有
    A3
        9
    A3  
       76 天前 via Android
    为啥用 3389
    DataSheep
        10
    DataSheep  
       76 天前 via iPhone
    @advancejar 单纯改端口没任何作用,没出问题只是可能你的账户名和密码比较强
    Illusionary
        11
    Illusionary  
       76 天前
    wireguard 好用的一比,外网拉家里 NAS 文件都打满上传带宽
    dearmymy
        12
    dearmymy  
       76 天前
    @jsyangwenjie tailscale 真心挺好用。。
    pppguest3962
        13
    pppguest3962  
       76 天前
    3389<-TCP_NAT->3389 ,直接 RDP 默认端口映射,你这是把羊放到狼群里,
    怎么野德吧 outside 那边的端口改一下吧,我改成 5 位数的端口,7 年了,一个摸门的都没有
    cjpjxjx
        14
    cjpjxjx  
       76 天前   ❤️ 1
    RDP 被暴力破解 99%的情况:使用默认端口、administrator 用户、弱口令

    可用端口六万多个,但凡改个五位数端口就已经过滤掉 99%的爆破;
    自定义用户名,禁用 administrator 用户,至少再过滤掉 99.99%的爆破;
    再使用强密码,直接被暴破成功的概率相当于小行星撞地球。
    huaes
        15
    huaes  
    OP
       76 天前
    @chengfeng1992 我是被一个 IP 破了半个月,我也是服了
    Osk
        16
    Osk  
       76 天前
    @cjpjxjx 再加一条: 关闭了 Windows 更新, 没错, 见过不少关闭更新的.
    huaes
        17
    huaes  
    OP
       76 天前
    @i3x 防火墙策略太麻烦了,我 Linux 都是密钥登陆的,而且只是台下载机没必要,我就是佩服他能爆我半个月
    huaes
        18
    huaes  
    OP
       76 天前
    @cjpjxjx 改端口其实作用不大,现在也就 windows server 才用默认用户名了,我之前被黑那次密码十几位,现在都是三十位起
    huaes
        19
    huaes  
    OP
       76 天前
    @fateofheart 用 RDP 就是为了延迟和画质,开了显卡加速之后 50Mb 上传都不够,VPS 中转那就是个垃圾还不如直接向日葵
    huaes
        20
    huaes  
    OP
       76 天前
    @jemyzhang 都中转了我为啥还用 RDP ,那不就为了延迟画质
    wolfmei
        21
    wolfmei  
       76 天前
    我用山石 SCVPN ,暂时还行。
    SenLief
        22
    SenLief  
       76 天前
    wireguard

    这货好用。
    iamvx
        23
    iamvx  
       76 天前
    改高端口,改强密码,改管理员帐户名。 登录桌面不显示帐户名,需要手动录入。并且把 administrator 改成其他的帐户名,然后建一个 guest 帐户叫 administrator 再把这个帐户禁用。

    另外,另外,设成尝试 3 次口令错误即锁定该帐号 10 分钟之内不能登录。让他破个千百年去。
    z1814633583
        24
    z1814633583  
       76 天前 via Android
    有一个疑问,openvpn 也是得开放端口出去的吧
    qbqbqbqb
        25
    qbqbqbqb  
       76 天前
    @A3
    @pppguest3962
    OP 写的是“六万高端口转发 3389”,outside 不是 3389
    flynaj
        26
    flynaj  
       76 天前 via Android
    IPv6 默认端口直接暴露,一年没有问题。
    piloots
        27
    piloots  
       76 天前
    近七天远程桌面被爆破 39709 次,建议修改远程桌面端口.
    cwek
        28
    cwek  
       76 天前
    SSH ,就算不是标准端口,,机器也只是偶然连续开两三天,一样被世界各地敲门(已经设了关闭账户密码登录)。

    这些可远程控制的,不建议直接暴露外网。
    huaes
        29
    huaes  
    OP
       76 天前
    @cwek 我被一个 Ip 爆了半个月我是佩服他的
    huaes
        30
    huaes  
    OP
       76 天前
    @flynaj 我又不可能关了 V4 ,上网都费劲了。倒是 openVPN 用的是 V6
    allanpk716
        31
    allanpk716  
       76 天前 via iPhone
    @cjpjxjx 改端口是没用的,RDP 协议有特征。老实用白名单和 VPN 吧。
    vhus
        32
    vhus  
       76 天前
    家用成品路由器的防火墙功能很差,软路由相对好些。
    所以一直在用 routeros 。
    自从把 ICMP 协议禁止掉日志就清爽很多了。
    家里路由仅仅开了 ovpn 和 PT 的端口,并且都改到 6XXXX 以上。
    star187j3x1
        33
    star187j3x1  
       76 天前
    vpn 和端口映射,安全性不一样吗?,,
    huaes
        34
    huaes  
    OP
       76 天前
    @star187j3x1 VPN 就是为了安全加密设计的,windows 漏洞太多了,内网和外网访问的安全性都不在一个量级上
    digimoon
        35
    digimoon  
       76 天前
    服务端口我都是非国内 ip 全封的
    brucmao
        36
    brucmao  
       76 天前
    我擦,感觉看了一下,这么多尝试登录,感觉取消端口转发
    https://s3.bmp.ovh/imgs/2022/06/03/117d66ff147b3416.png
    brucmao
        37
    brucmao  
       76 天前
    @brucmao 感觉 -> 赶紧
    Les1ie
        38
    Les1ie  
       75 天前
    即使 RDP 使用了强密码,但是 RDP 协议本身是可能存在漏洞的,比如 CVE-2019-0708 。
    如果你的 Windows 版本在受影响范围内,比如 win7, win server 2008 ,且未更新补丁,并且再非常不巧,机器的 RDP 端口暴露到了公网中,攻击者无需密码就可以进入你的系统。

    建议还是映射 VPN 的端口到公网,至少目前 wireguard/OpenVPN 暂时没有严重的漏洞。
    huaes
        39
    huaes  
    OP
       75 天前
    @Les1ie 所以现在只用 VPN 连回内网了,之前那是 win10 ,密码是十几位的诗词大小写数字强密码照样被黑了
    huaes
        40
    huaes  
    OP
       75 天前
    @Les1ie zerotier 我都全线卸载了,还是掌握在自己手里的东西更安全
    pagxir
        41
    pagxir  
       75 天前 via Android
    remmina 可以 rdp over ssh ,你设置 ssh 用 key 鉴权既可以
    m1nm13
        42
    m1nm13  
       75 天前
    想起来春节,服务器开放了 SSH 端口,结果被打下来,挖了半个月的矿。。。。
    jousca
        43
    jousca  
       75 天前
    @huaes 1 、系统自动升级开没开?不打补丁被黑那是活该。2 、账户安全策略,密码错误 5 次锁半个小时起步。3 、口令不符合你的社工库。就是这个密码不要用于其它地方。千万别一个密码到处用……

    不要小看微软的安全系数,目前网上被中招的大部分都是连自动升级都舍不得开的。
    huaes
        44
    huaes  
    OP
       75 天前
    @jousca 正版 Key 激活 win10 专业版自动更新没事就给我重启,并没卵用照样被黑。谁有那功夫把每一台机器组策略都加满, 再说了,windows 的漏洞还少吗
    philippiela
        45
    philippiela  
       75 天前 via iPad
    @fateofheart 我也是这么搞的,能扫进去的人估计都去扫中情局的数据库
    derekwei
        46
    derekwei  
       75 天前
    比较好奇隔壁国家是哪个,ru ?
    jousca
        47
    jousca  
       75 天前
    @huaes 如果 linux 不做安全策略,一样被黑得鸡飞狗跳而且你还不知道……
    lau52y
        48
    lau52y  
       75 天前 via iPhone
    插楼问一下,怎么搭建那种,vpn 才能连接服务器的
    huaes
        49
    huaes  
    OP
       75 天前
    @derekwei 对,那三字目前打不出来
    huaes
        50
    huaes  
    OP
       75 天前
    @lau52y 没懂你啥意思
    lqzhgood
        51
    lqzhgood  
       75 天前
    楼主重启会变 IP 的么?
    huaes
        52
    huaes  
    OP
       75 天前
    @lqzhgood 肯定会的啊,而且是 5 个 IP 段,照样被爆,时间间隔我没注意但是那半个月时间都是有记录的
    jemyzhang
        53
    jemyzhang  
       75 天前 via Android
    @huaes 按照你的描述你应该有公网,既然有公网还要 vps 中转干啥,直接本机建 relay 就行了,延迟和画质都能保证
    q1angch0u
        54
    q1angch0u  
       74 天前 via iPhone
    可以了解一下 censys 、rapid7 ,有人替他们扫,肉鸡只负责攻击就好
    Showfom
        55
    Showfom  
       74 天前
    Windows 服务器也有个类似 fail2ban 的开源小工具

    https://github.com/devnulli/EvlWatcher
    lihui114514
        56
    lihui114514  
       74 天前
    想问下我用的 HW 路由器可以在 APP 里远程设置 DMZ 设备,在用的时候把需要远程的设备暴露出来,不用的时候就把 DMZ 关掉这种方案如何呢
    guanzhangzhang
        57
    guanzhangzhang  
       73 天前
    你这种端口转发就是应用暴漏在外面了,你用 openvpn 和 wireguard 这种先认证对了才能连上内网的就不存在这种问题了,特别是 wireguard 是非堆成密钥加密,其次它还是工作在内核态
    huaes
        58
    huaes  
    OP
       73 天前
    @guanzhangzhang wireguard 这玩意我记得刚出的时候就是为翻墙准备的,兼容太差,难不成我还为了它装个 Linux
    tvirus
        59
    tvirus  
       73 天前
    装这个叫 RDP Defender 软件试一试
    dream2cast
        60
    dream2cast  
       73 天前
    个人感觉把 RDP 直接暴露在公网上的都是狠人
    huaes
        61
    huaes  
    OP
       73 天前
    @dream2cast 其实无论是端口转发还是改端口都没用,会被检测协议的
    huaes
        62
    huaes  
    OP
       73 天前
    @tvirus 任何二次转发的延迟跟画质都不能忍,原生显卡加速 60fps 或者 120fps 瓶颈只在带宽了
    07ly
        63
    07ly  
       73 天前
    @huaes wireguard 可不是为了翻墙准备的,要是用它来翻墙那分分钟被请喝茶,特征太明显。wireguard 还是用来组网比较适合,windows 电脑或者路由器开个 wireguard 客户端,配置下本地和对端 peer ,做个端口转发。再在另一台设备上把两边信息配置好就能组网了
    huaes
        64
    huaes  
    OP
       73 天前
    @07ly 还是那句话,用过,兼容太差,扔一边了。这东西组网不如 Zerotier ,简易性兼容性都不如路由器电脑自带 VPN 。甚至都不如 SoftEther
    guanzhangzhang
        65
    guanzhangzhang  
       73 天前
    @huaes 兼容性没啥问题,我 op 和 Linux 上都配置过,我博客还写了笔记,有个 r2s 的小白看了按照配置了都跑起来了,zerotier 兼容性才差,下发路由慢(ecs 上 docker 容器起的),腾讯云和阿里云上搭建过 moon ,速度都不咋的
    huaes
        66
    huaes  
    OP
       73 天前
    @guanzhangzhang 关键问题在于我不用 Linux 和 OP 啊,硬路由能解决的我干嘛非要在装个虚拟 OP 呢,说真的折腾这么多年网络 OP 类软路由除了翻墙和大宽带汇聚其他场景没什么用,还多了维护成本。折腾那么多除了看起来爽没什么实用性,网络整体稳定性才是我看重的,硬路由 VPN 除了加解密性能低点没什么缺点,不过两三百兆也够用了
    huaes
        67
    huaes  
    OP
       73 天前
    @guanzhangzhang 任何需要二次安装的都逃不过稳定性问题,VPN 是远控类软件也是,zerotier 我也就卸载了,现在就靠路由器自身 openVPN 外加两台向日葵控控, 服务器路由器都炸了也不怕
    z775781
        68
    z775781  
       73 天前
    @iamvx 我设置过五次错误锁定账号十分钟,然后我就再也连不上我的 RDP 了,还好有备用方案 anydesk
    huaes
        69
    huaes  
    OP
       73 天前
    @z775781 我也试过,测试完发现不管用,害怕了就改回去了,还是老实用 VPN 加向日葵控控吧,反正有硬件设备拖底
    lzyliangzheyu
        70
    lzyliangzheyu  
       73 天前
    你 windows 是 24 小时开机的吗,我是默认 3389 端口,但是每次都是要用电脑之前先用 wake on lan 唤醒,用完就关机的,主要是待机动辄几百瓦的功耗太费电了
    huaes
        71
    huaes  
    OP
       72 天前
    @lzyliangzheyu 几百瓦不至于,windows 台式无负载一百瓦左右因为有块 2080 ,双路服务器无负载也才两百瓦,这点电才几块钱,台式机经常开关机才容易出问题,实验室的机器都是几年不关机的
    tvirus
        72
    tvirus  
       72 天前
    @huaes RDP Defender 只是 一个 RDP 防火墙
    ppbaozi
        73
    ppbaozi  
       65 天前
    sh570655308
        74
    sh570655308  
       58 天前
    我以前是路由器建 SS 服务器再连回去的,现在直接用 ipv6 了
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2732 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 14:53 · PVG 22:53 · LAX 07:53 · JFK 10:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.