none
How to prevent brute force attack of SQL SA Login RRS feed

  • 問題

  • Dear All

    My server (Windows 2008 & SQL 2008) is being attacked by Brute Force trying of SA account from  a series of IP address. The case just like the below link

    http://serverfault.com/questions/219524/what-should-i-do-about-someone-trying-to-brute-force-attempt-to-login-to-our-sql

    I am sourcing the best solution to prohibit those IPs from making connection with my SQL server. Does anyone know if there exists any solution or third party application that could be identifying these "BAD IP" and directly block these IP from further connection with my MS SQL server.

    E.g. it would be great if the software can detect 5 consecutive fail login (with SA) and block the IP from further connection

    Thanks and Regards

    David

    2012年2月20日 上午 03:36

解答

  • Consider changing sql port if you put sql server on internet, everyone knows 1433 is default sql port and will use it for attacking.
    2012年2月20日 下午 07:43
  • 就個人有限的知識,尚未看到有此類的工具程式可以在 SA 帳號登入失敗數次之後,自動將其來源 IP 封鎖。

    若您的資料庫必須允許從 Internet 存取,可以嘗試:

    1. 把 SA 帳號更名成複雜的名稱(例如參雜英數字):
      ALTER LOGIN sa WITH NAME = [<新的 sa 帳號>]
    2. 或是考慮停用 SA 帳號,僅使用 Windows 驗證模式。


    ☞ 這裡是「免費的討論區」付費支援服務請造訪 此處享受尊榮服務
    如果回覆對您有幫助,請記得按下標示為解答」

    2012年2月24日 上午 03:33
    版主

所有回覆

  • Regardsing aspect of database, I suggest that you should firstly consider renaimng sa or diabled sa account for administrator Brute Force Attack. Also, levarage firewall feature with your network administrator to help block the malicious IPs or limit only leagal coming IPs that you could identify to access your SQL server.  As for consectve fail log event detection, you can create server audit and login audit on it. 

    Hope it's helpful to you

    2012年2月20日 上午 06:07
  • Consider changing sql port if you put sql server on internet, everyone knows 1433 is default sql port and will use it for attacking.
    2012年2月20日 下午 07:43
  • 就個人有限的知識,尚未看到有此類的工具程式可以在 SA 帳號登入失敗數次之後,自動將其來源 IP 封鎖。

    若您的資料庫必須允許從 Internet 存取,可以嘗試:

    1. 把 SA 帳號更名成複雜的名稱(例如參雜英數字):
      ALTER LOGIN sa WITH NAME = [<新的 sa 帳號>]
    2. 或是考慮停用 SA 帳號,僅使用 Windows 驗證模式。


    ☞ 這裡是「免費的討論區」付費支援服務請造訪 此處享受尊榮服務
    如果回覆對您有幫助,請記得按下標示為解答」

    2012年2月24日 上午 03:33
    版主