如何快速查出哪个 IP 正在爆破你的 Windows 服务器

傲来云

在运维 Windows 服务器时，经常会遇到被“远程桌面爆破”的情况。表现一般是：
服务器 CPU 异常飙高
安全日志充满登录失败记录
安全软件频繁报警
有时还会莫名其妙被人登录成功
为了避免被入侵，我们需要快速定位爆破源 IP，及时封禁。

下面就是一套实际可操作的排查方法和脚本工具，适合任何 Windows Server 2012+ 的系统。

一、查看远程登录失败记录（事件 ID 4625）
Windows 安全日志中会记录所有登录失败尝试，事件编号为 `4625`。我们可以用 PowerShell 快速筛选出：

1. Get-WinEvent -FilterHashtable @{
   
2.     LogName='Security';
   
3.     Id=4625
   
4. } | Select-Object TimeCreated,@{Name="IP";Expression={ ($_ | Select-String -Pattern "Source Network Address:\s+([\d\.]+)" ).Matches.Groups[1].Value }} | Group-Object IP | Sort-Object Count -Descending | Select-Object -First 10

复制代码

上面这段脚本可以输出：
每个失败登录尝试的来源 IP
出现次数（即爆破频率）
排名前10的爆破 IP

如果你只想快速找一个 IP 多次失败，可以简化为：

1. Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} |
   
2.   Where-Object { $_.Message -like "*Source Network Address:*" } |
   
3.   Select-String "Source Network Address:\s+([\d\.]+)" |
   
4.   ForEach-Object { $_.Matches.Groups[1].Value } |
   
5.   Group-Object | Sort-Object Count -Descending | Select-Object -First 10

复制代码

二、通过事件查看器手动查（适合不会用命令的用户）
1. 打开【事件查看器】 → 【Windows 日志】 → 【安全】
2. 找到 ID 为 4625 的日志（可以使用筛选）
3. 双击打开，查看“来源网络地址”字段，即是攻击 IP

你可能会看到很多重复的 IP 在不停尝试登录不同用户名，比如：

1. 失败的登录尝试
   
2. 帐户名: admin
   
3. 来源网络地址: 123.123.123.123

复制代码

三、封禁恶意 IP
确认爆破 IP 后，我们可以用以下方式快速封禁：
方法1：使用 Windows 防火墙封 IP

1. New-NetFirewallRule -DisplayName "Block BruteForce IP" -Direction Inbound -RemoteAddress 123.123.123.123 -Action Block

复制代码

也可以用批处理一次性封禁多个：

1. netsh advfirewall firewall add rule name="BlockHackIP" dir=in action=block remoteip=123.123.123.123 enable=yes

复制代码

方法2：自动封禁建议（用 fail2ban/winlogbeat 配合 Wazuh 或 Security Onion）
如果你希望自动封 IP，可以使用：
安装 RDPGuard（商业软件）
或部署 Wazuh/ELK，自动检测4625并写规则封锁
或自己写脚本定期分析日志 + 调用防火墙 API 封 IP

四、防御建议
远程端口不要使用默认3389，换端口能躲掉90%的扫描器
限制登录 IP（白名单远程地址）
安装 Fail2Ban for Windows（第三方实现）
使用防爆破安全软件：如 RDPGuard、BitNinja、火绒服务器版
启用账户锁定策略（失败5次锁定30分钟）

总结
很多站点被攻陷就是因为忽略了这些“日常失败记录”。
希望大家都能重视远程登录安全，别让爆破 IP 在服务器门口狂敲几万次！