日志中大量审核失败，但源网络地址是空的，不知道怎么处理，求解答~

风月催 2016-12-11 11:26:41

这是凭据验证里的信息
计算机试图验证帐户的凭据。

验证包: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登录帐户: ADMINISTRATOR
源工作站:
错误代码: 0xC0000064
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" />
<EventID>4776</EventID>
<Version>0</Version>
<Level>0</Level>
<Task>14336</Task>
<Opcode>0</Opcode>
<Keywords>0x8010000000000000</Keywords>
<TimeCreated SystemTime="2016-12-11T15:14:16.178275000Z" />
<EventRecordID>230854</EventRecordID>
<Correlation />
<Execution ProcessID="480" ThreadID="2072" />
<Channel>Security</Channel>
<Computer>iZfre9ahhci2izZ</Computer>
<Security />
</System>
- <EventData>
<Data Name="PackageName">MICROSOFT_AUTHENTICATION_PACKAGE_V1_0</Data>
<Data Name="TargetUserName">ADMINISTRATOR</Data>
<Data Name="Workstation" />
<Data Name="Status">0xc0000064</Data>
</EventData>
</Event>

这里是登录里的信息
帐户登录失败。

使用者:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

登录失败的帐户:
安全 ID: NULL SID
帐户名: ADMINISTRATOR
帐户域:

失败信息:
失败原因: 未知用户名或密码错误。
状态: 0xC000006D
子状态: 0xC0000064

进程信息:
调用方进程 ID: 0x0
调用方进程名: -

网络信息:
工作站名:
源网络地址: -
源端口: -

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递服务: -
数据包名(仅限 NTLM): -
密钥长度: 0

登录请求失败时在尝试访问的计算机上生成此事件。

像上面这样的信息有大量的出现，账户名有时候也会变成其他的，感觉就像是在暴力破解，但是源网络信息里是空的，请问是怎么回事？还请帮忙

补充：这是2012D2R2服务器

...全文

3758 4 打赏收藏转发到动态举报

写回复

用AI写文章

4 条回复

切换为时间正序

请发表友善的回复…

发表回复

Losiesta 2017-12-26

打赏
举报

引用 3 楼 Losiesta 的回复:

遇到了同样的问题，本人非专业人士，不太懂。开始是临时隔一段时间改一次密码。。。后面有时间琢磨了一下，既然有TCP连接就肯定能找到IP，然后就开始了尝试：首先是尝试的360的网络连接，好吧，直接就能看到3389的TCP连接情况。后面的就简单了，将出现的异常连接的IP加入到防火墙阻止（关键字：入站规则-..-自定义-..-作用域-..-远程IP）。不过总不能有事没事就开着360盯着吧。然后就搜了一段C# 代码做了个简单的控制台应用程序，每秒监测一次指定端口，记录连接信息并统计连接时长，然后保存到文件。后面只需要定期从文件中提取出非法IP统一处理就行。核心代码见： https://www.cnblogs.com/emanlee/archive/2013/02/01/2889612.html
public static void GetTcpConnections() 
{ 
	IPGlobalProperties properties = IPGlobalProperties.GetIPGlobalProperties(); 

	TcpConnectionInformation[] connections = properties.GetActiveTcpConnections(); 
	foreach (TcpConnectionInformation t in connections) 
	{ 
		Console.Write("Local endpoint: {0} ", t.LocalEndPoint.ToString()); 
		Console.Write("Remote endpoint: {0} ", t.RemoteEndPoint.ToString()); 
		Console.WriteLine("{0}", t.State); 
	} 
	Console.WriteLine(); 
	Console.ReadLine(); 
}

当然应该有专业的防火墙之类自动做类似的工作，要是有专业人士，望普及一下相关安全知识。

Losiesta 2017-12-26

打赏
举报

遇到了同样的问题，本人非专业人士，不太懂。开始是临时隔一段时间改一次密码。。。后面有时间琢磨了一下，既然有TCP连接就肯定能找到IP，然后就开始了尝试：首先是尝试的360的网络连接，好吧，直接就能看到3389的TCP连接情况。后面的就简单了，将出现的异常连接的IP加入到防火墙阻止（关键字：入站规则-..-自定义-..-作用域-..-远程IP）。不过总不能有事没事就开着360盯着吧。然后就搜了一段C# 代码做了个简单的控制台应用程序，每秒监测一次指定端口，记录连接信息并统计连接时长，然后保存到文件。后面只需要定期从文件中提取出非法IP统一处理就行。核心代码见： https://www.cnblogs.com/emanlee/archive/2013/02/01/2889612.html


public static void GetTcpConnections() 
{ 
	IPGlobalProperties properties = IPGlobalProperties.GetIPGlobalProperties(); 

	TcpConnectionInformation[] connections = properties.GetActiveTcpConnections(); 
	foreach (TcpConnectionInformation t in connections) 
	{ 
		Console.Write("Local endpoint: {0} ", t.LocalEndPoint.ToString()); 
		Console.Write("Remote endpoint: {0} ", t.RemoteEndPoint.ToString()); 
		Console.WriteLine("{0}", t.State); 
	} 
	Console.WriteLine(); 
	Console.ReadLine(); 
}