จดไว้เป็นประวัติศาสตร์นิดหน่อยครับว่าวันที่ 2 สิงหาคม ขนาดการโจมตีในไทยทะลุ 13Gbps ไปแล้วตั้งแต่ประมาณ 17.10 น.
ส่วน DDoS ขนาด 5-6 Gbps นี่ถือว่าเป็นเรื่องปกติที่เจอกันบ่อยๆ ง่ายๆ แล้ว
ส่วนวิธีการโจมตีก็ยังวิธีเดิมๆ ครับ DNS Amplification เนื่องจากเป็นวิธีที่ประสิทธิภาพ(ในการโจมตี)ดีที่สุดแล้ว และ admin แถวๆ ประเทศสารขัณฑ์ไม่รู้จักปิด recursion หรือการ limit rate กัน…
เสียดายเครือข่ายที่ต้องเอามารองรับการโจมตีพวกนี้นะเนี่ย
ทำแล้วก็จดไว้ครับ
ก่อนอื่นสร้าง powershell script เซฟไว้ซักที่ (สมมติ c:\scripts\email.ps1)
$message=Get-WinEvent -logname "Microsoft-Windows-TerminalServices-LocalSessionManager/Operational" -maxevents 10 | Where-Object {$_.Id -eq 21 -OR $_.Id -eq 25 } |Format-List -Property * | out-string -Width 100
send-mailmessage -to EMAIL@EXAMPLE.COM -Subject "Login Event on " -SmtpServer mail.domain.com -From db1@warz.extreme.co.th -Body $message
เตรียม smtp server ให้เรียบร้อยด้วยนะครับ
แล้วไปที่ task scheduler กด create task หน้าแรกกรอกประมาณนี้
แล้วไปที่หน้า Trigger กด New แล้วกรอกประมาณนี้ (ช่อง Event Log นั่น กรอก Microsoft-Windows-TerminalServices-LocalSessionManager/Operational นะครับ)
แล้วไปที่หน้า Action กด New กรอกประมาณนี้
เสร็จแล้วกด OK ออกไป มันจะถามรหัสผ่าน windows ทีนึงก็ใส่ให้เรียบร้อย จบ :)
Tags: alert, monitor, powershell, Windows Server
