<div dir="ltr">If someone wanted to, though, could you look at the response size coming back?  <div><br></div><div>As in, a failed login for RDP is A bytes, a successful login is B bytes (or maybe just ~A), then if you see your server response be A bytes 3 times, then trigger a block on the source IP.  Not the best technique maybe, but it was one of the ways I would try to detect failed SSH logins a while ago.</div><div><br></div><div>John Wiltberger</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Feb 7, 2015 at 3:06 AM, Samuel M Westerfeld <span dir="ltr"><<a href="mailto:sam@...2156..." target="_blank">sam@...4000....</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">No need to reinvent the wheel. This can (and should) be done through Group Policy or Local Security Policy in Windows.</p><div class="HOEnZb"><div class="h5">
<div class="gmail_quote">On Feb 7, 2015 1:36 AM, "Dave Killion" <<a href="mailto:dave.killion@...2420..." target="_blank">dave.killion@...2420...</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">While that's true - RDP is encrypted - a poor man's brute-force detection is to detect n-connections in y seconds between IP peers.  Say... 5 connections in 10 seconds?<br>
<br>
A real user wouldn't go that fast unless they were rapidly trying credentials, and a script would go much faster.   You may need to tune the interval, however, to something that makes sense in your network.<br>
<br>
Yes, this has problems with NAT, and yes, it has problems with slow brute, but... It's better than nothing, and I know with certainty that many commercial IDS' do exactly this.<br>
<br>
Dave Killion<br>
<br>
<br>
> On Feb 6, 2015, at 4:57 PM, Jason Haar <<a href="mailto:Jason_Haar@...3686..." target="_blank">Jason_Haar@...3686...</a>> wrote:<br>
><br>
>> On 23/01/15 12:06, Richard Giles wrote:<br>
>> Hello,<br>
>><br>
>> I am trying to write a simple snort rule that will block RDP traffic if the password is failed more then 3-5 times. I have been experimenting using something like the following:<br>
>><br>
> As far as I'm aware RDP is a fully encrypted channel, so any failed login messages are sent by the server to the client over that encrypted channel. In other words, it's just like SSH<br>
><br>
> ie snort can't read it.<br>
><br>
> The only way I can think of to detect RDP failed logins is to monitor the eventlogs of Windows servers for failed login events :-(<br>
> --<br>
> Cheers<br>
><br>
> Jason Haar<br>
> Corporate Information Security Manager, Trimble Navigation Ltd.<br>
> Phone: <a href="tel:%2B1%20408%20481%208171" value="+14084818171" target="_blank">+1 408 481 8171</a><br>
> PGP Fingerprint: 7A2E 0407 C9A6 CAF6 2B9F 8422 C063 5EBB FE1D 66D1<br>
> ------------------------------------------------------------------------------<br>
> Dive into the World of Parallel Programming. The Go Parallel Website,<br>
> sponsored by Intel and developed in partnership with Slashdot Media, is your<br>
> hub for all things parallel software development, from weekly thought<br>
> leadership blogs to news, videos, case studies, tutorials and more. Take a<br>
> look and join the conversation now. <a href="http://goparallel.sourceforge.net/" target="_blank">http://goparallel.sourceforge.net/</a><br>
> _______________________________________________<br>
> Snort-sigs mailing list<br>
> <a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@lists.sourceforge.net</a><br>
> <a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
> <a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
><br>
><br>
> Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
<br>
------------------------------------------------------------------------------<br>
Dive into the World of Parallel Programming. The Go Parallel Website,<br>
sponsored by Intel and developed in partnership with Slashdot Media, is your<br>
hub for all things parallel software development, from weekly thought<br>
leadership blogs to news, videos, case studies, tutorials and more. Take a<br>
look and join the conversation now. <a href="http://goparallel.sourceforge.net/" target="_blank">http://goparallel.sourceforge.net/</a><br>
_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net" target="_blank">Snort-sigs@lists.sourceforge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br>
</blockquote></div>
</div></div><br>------------------------------------------------------------------------------<br>
Dive into the World of Parallel Programming. The Go Parallel Website,<br>
sponsored by Intel and developed in partnership with Slashdot Media, is your<br>
hub for all things parallel software development, from weekly thought<br>
leadership blogs to news, videos, case studies, tutorials and more. Take a<br>
look and join the conversation now. <a href="http://goparallel.sourceforge.net/" target="_blank">http://goparallel.sourceforge.net/</a><br>_______________________________________________<br>
Snort-sigs mailing list<br>
<a href="mailto:Snort-sigs@lists.sourceforge.net">Snort-sigs@...639...forge.net</a><br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-sigs" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-sigs</a><br>
<a href="http://www.snort.org" target="_blank">http://www.snort.org</a><br>
<br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> for the latest news about Snort!<br></blockquote></div><br></div>