要检测并查看哪些用户试图对 MikroTik 路由器进行暴力攻击，您可以查看系统日志，其中记录了访问尝试和可疑活动。

暴力攻击的典型特征是短时间内多次失败的登录尝试。 MikroTik RouterOS 的日志记录功能非常强大，提供的详细信息可以帮助您识别此类异常行为。

查看暴力攻击日志的步骤：

1. 访问记录（日志）：
   • 来自WinBox： 您可以通过在主菜单中选择“日志”来访问日志。这将向您显示最近事件的列表，包括登录尝试。
   • 通过航站楼： 使用命令 /log print 查看日志。如果您要查找特定的事件（例如登录尝试），您可以按特定事件类型进行过滤。
2. 搜索登录失败事件： 在日志中搜索指示登录尝试失败的条目。这些通常会标有诸如“登录失败”之类的消息，并且可能包括登录尝试源的 IP 地址。
3. 识别暴力攻击模式： 暴力攻击的特点是短时间内从同一IP地址或一系列IP地址多次尝试登录失败。查看日志以识别此类模式。

附加行动：

• 阻止可疑 IP 地址： 您可以在 MikroTik 防火墙中创建规则来阻止您认为正在尝试暴力攻击的特定 IP 地址。
• 启用动态黑名单： 考虑使用动态黑名单来自动阻止尝试暴力攻击的 IP 地址。
• 更改标准服务端口： 将 SSH、Winbox 和 WebFig 等服务的端口号更改为非标准端口有助于减少暴力攻击。
• 限制失败的登录尝试： MikroTik 允许您在暂时阻止来自可疑 IP 地址的访问之前设置失败登录尝试的次数限制。
• 启用双因素身份验证 (2FA)： 如果可能，启用双因素身份验证以提高安全性。

建议定期监控 MikroTik 路由器日志，以维护网络安全。通过快速识别和响应暴力攻击，您可以保护您的网络免受未经授权的访问和潜在漏洞的影响。