ในการตรวจจับและดูว่าผู้ใช้รายใดกำลังพยายามโจมตีเราเตอร์ MikroTik อย่างดุร้าย คุณสามารถตรวจสอบบันทึกของระบบซึ่งมีการบันทึกความพยายามในการเข้าถึงและกิจกรรมที่น่าสงสัย

การโจมตีแบบ Brute Force มีลักษณะเฉพาะคือการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งในช่วงเวลาสั้นๆ MikroTik RouterOS ค่อนข้างแข็งแกร่งในความสามารถในการบันทึก โดยให้รายละเอียดที่สามารถช่วยคุณระบุพฤติกรรมที่ผิดปกติประเภทนี้ได้

ขั้นตอนในการตรวจสอบบันทึกการโจมตีแบบ Brute Force:

1. การเข้าถึงบันทึก (บันทึก):
   • จาก WinBox: คุณสามารถเข้าถึงบันทึกได้โดยเลือก "บันทึก" ในเมนูหลัก นี่จะแสดงรายการกิจกรรมล่าสุด รวมถึงความพยายามในการเข้าสู่ระบบ
   • โดยอาคารผู้โดยสาร: ใช้คำสั่ง /log print เพื่อดูบันทึก คุณสามารถกรองตามประเภทเหตุการณ์ที่เจาะจงได้หากคุณกำลังมองหาสิ่งที่เฉพาะเจาะจง เช่น การพยายามเข้าสู่ระบบ
2. ค้นหาเหตุการณ์การเข้าสู่ระบบที่ล้มเหลว: ค้นหาบันทึกสำหรับรายการที่บ่งชี้ถึงความพยายามในการเข้าสู่ระบบที่ล้มเหลว สิ่งเหล่านี้มักจะมีป้ายกำกับด้วยข้อความ เช่น “การเข้าสู่ระบบล้มเหลว” และอาจรวมถึงที่อยู่ IP ของแหล่งที่มาของความพยายามในการเข้าถึง
3. ระบุรูปแบบการโจมตีแบบ Brute Force: การโจมตีแบบ bruteforce มีลักษณะเฉพาะคือการพยายามเข้าสู่ระบบที่ล้มเหลวหลายครั้งจากที่อยู่ IP เดียวกันหรือช่วงของ IP ภายในระยะเวลาอันสั้น ตรวจสอบบันทึกเพื่อระบุรูปแบบดังกล่าว

การดำเนินการเพิ่มเติม:

• บล็อกที่อยู่ IP ที่น่าสงสัย: คุณสามารถสร้างกฎในไฟร์วอลล์ MikroTik เพื่อบล็อกที่อยู่ IP เฉพาะที่คุณคิดว่ากำลังพยายามโจมตีแบบดุร้าย
• เปิดใช้งานบัญชีดำแบบไดนามิก: พิจารณาใช้บัญชีดำแบบไดนามิกเพื่อบล็อกที่อยู่ IP ที่พยายามโจมตีแบบดุร้ายโดยอัตโนมัติ
• เปลี่ยนพอร์ตบริการมาตรฐาน: การเปลี่ยนหมายเลขพอร์ตสำหรับบริการต่างๆ เช่น SSH, Winbox และ WebFig เป็นพอร์ตที่ไม่ได้มาตรฐานสามารถช่วยลดการโจมตีแบบ Brute Force ได้
• การจำกัดความพยายามในการเข้าสู่ระบบล้มเหลว: MikroTik ช่วยให้คุณสามารถกำหนดขีดจำกัดจำนวนครั้งในการพยายามเข้าสู่ระบบที่ล้มเหลวก่อนที่จะบล็อกการเข้าถึงจากที่อยู่ IP ที่น่าสงสัยชั่วคราว
• เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA): หากเป็นไปได้ ให้เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัยเพื่อปรับปรุงความปลอดภัย

การตรวจสอบบันทึกของเราเตอร์ MikroTik เป็นประจำเป็นแนวทางปฏิบัติที่แนะนำเพื่อรักษาความปลอดภัยของเครือข่ายของคุณ ด้วยการระบุและตอบสนองต่อการโจมตีแบบ bruteforce อย่างรวดเร็ว คุณสามารถปกป้องเครือข่ายของคุณจากการเข้าถึงที่ไม่ได้รับอนุญาตและช่องโหว่ที่อาจเกิดขึ้นได้