HSS 如何拦截账户暴力破解？

拦截范围

HSS可拦截的攻击类型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。

若您的服务器上安装了MySQL或者vsftp，开启主机安全防护之后，Agent会在iptables 里面新增一些规则，用于mysql/vsftp爆破防护。当检测到爆破行为后会将爆破IP加入 到阻断列表里面，新增的规则如图4-1所示。

图4-1 新增规则

须知

不建议删除已添加的iptables规则，若删除iptables规则，HSS将无法防护mysql/vsftp 被暴力破解。

账户破解拦截原理

暴力破解是一种常见的入侵攻击行为，通过暴力破解或猜解主机密码，从而获得主机 的控制权限，会严重危害主机的安全。

通过暴力破解检测算法和全网IP黑名单，若发现暴力破解主机的行为，HSS会对发起攻 击的源IP进行拦截，SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。

若被拦截的IP在默认拦截时间内没有再继续攻击，系统自动解除拦截。同时HSS支持双 因子认证功能，双重认证用户身份，有效阻止攻击者对主机账号的破解行为。

您可以配置常用登录IP、配置SSH登录IP白名单，常用登录IP、SSH登录IP白名单中的 IP登录行为不会被拦截。

说明

使用鲲鹏计算EulerOS（EulerOS with ARM）和Centos 8.0及以上版本的主机，在遭受SSH账户 破解攻击时，HSS不会对攻击IP进行拦截，仅支持对攻击行为进行告警；SSH登录IP白名单功能 也对其不生效。

步骤2 在页面左上角选择“区域”，单击 ，选择“安全与合规 > 企业主机安全”，进入 企业主机安全页面。

图4-2 企业主机安全

步骤3 进入“账户暴力破解”页面，查看已防护的服务器上的暴力破解拦截记录，如图4-3所 示。

图4-3 账户破解防护

步骤4 单击“已拦截IP”，可查看已拦截的攻击源IP、攻击类型、拦截次数、开始拦截时间和 最近拦截时间，以及拦截状态。

● 已拦截：表示该暴力破解行为已被HSS成功拦截。

● 已解除：表示您已解除对该暴力破解行为的拦截。

说明

SSH类型攻击默认拦截12小时，其他类型攻击默认拦截24小时。若被拦截的IP在默认拦截 时间内没有再继续攻击，系统自动解除拦截。

----结束

处理拦截 IP

● 如果发现某个主机被频繁攻击，需要引起重视，建议及时修补漏洞，处理风险 项。

建议开启双因子认证功能，并配置常用登录IP、配置SSH登录IP白名单。

● 如果发现有合法IP被误封禁（比如运维人员因为记错密码，多次输错密码导致被 封禁），可以手动解除拦截IP。

须知

若您手动解除被拦截的可信IP，仅可以解除本次HSS对该IP的拦截。若再次发生多 次密码输错，该IP会再次被HSS拦截。