攔截范圍

HSS可攔截的攻擊類型包括：mysql、mssql、vsftp、filezilla、serv-u、ssh、rdp。

若您的服務器上安裝了MySQL或者vsftp，開啟主機安全防護之后，Agent會在iptables里面新增一些規則，用于mysql/vsftp爆破防護。當檢測到爆破行為后會將爆破IP加入到阻斷列表里面，新增的規則如圖所示。

新增規則

不建議刪除已添加的iptables規則，若刪除iptables規則，HSS將無法防護mysql/vsftp被暴力破解。

賬戶破解攔截原理

暴力破解是一種常見的入侵攻擊行為，通過暴力破解或猜解主機密碼，從而獲得主機的控制權限，會嚴重危害主機的安全。

通過暴力破解檢測算法和全網IP黑名單，若發現暴力破解主機的行為，HSS會對發起攻擊的源IP進行攔截，SSH類型攻擊默認攔截12小時，其他類型攻擊默認攔截24小時。 若被攔截的IP在默認攔截時間內沒有再繼續攻擊，系統自動解除攔截 。同時HSS支持雙因子認證功能，雙重認證用戶身份，有效阻止攻擊者對主機賬號的破解行為。

使用鯤鵬計算EulerOS（EulerOS with ARM）和Centos 8.0及以上版本的主機，在遭受SSH賬戶破解攻擊時，HSS不會對攻擊IP進行攔截，僅支持對攻擊行為進行告警；SSH登錄IP白名單功能也對其不生效。

告警策略

• 如果黑客暴力破解密碼成功，且成功登錄您的服務器，會立即發送實時告警通知用戶。
• 如果檢測到暴力破解攻擊并且評估認為賬戶存在被破解的風險，會立即發送實時告警通知用戶。
• 如果該次暴力破解沒有成功，主機上也沒有已知風險項（不存在弱口令），評估認為賬戶沒有被破解的風險時，不會發送實時告警。企業主機安全服務會在每天發送一次的每日告警信息中通告當日攻擊事件數量。您也可以登錄企業主機安全控制臺入侵檢測頁面實時查看攔截信息。

查看賬戶破解檢測結果

1、登錄管理控制臺。

2、在頁面左上角單擊 ，選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、在彈窗界面單擊“體驗新版”，切換至主機安全服務頁面。

4、進入“暴力破解”頁面，查看已防護的服務器上的暴力破解攔截記錄。

5、單擊“查看詳情”，可查看已攔截的攻擊源IP、攻擊類型、攔截狀態、攔截次數、開始攔截時間和最近攔截時間。

• 已攔截：表示該暴力破解行為已被HSS成功攔截。
• 已解除：表示您已解除對該暴力破解行為的攔截。
• SSH類型攻擊默認攔截12小時，其他類型攻擊默認攔截24小時。 若被攔截的IP在默認攔截時間內沒有再繼續攻擊，系統自動解除攔截 。

處理攔截IP

如果發現某個主機被頻繁攻擊，需要引起重視，建議及時修補漏洞，處理風險項。

如果發現有合法IP被誤封禁（比如運維人員因為記錯密碼，多次輸錯密碼導致被封禁），可以查看下文：如何手動解除誤攔截IP？

                    
說明
                    
若您手動解除被攔截的可信IP，僅可以解除本次HSS對該IP的攔截。若再次發生多次密碼輸錯，該IP會再次被HSS攔截。