目前，一場大規模的暴力破解密碼攻擊正在進行中，攻擊者利用近280萬個IP地址，試圖破解包括Palo Alto Networks、Ivanti和SonicWall在內的多種網絡設備的登錄憑證。

什么是暴力破解攻擊？

暴力破解攻擊是指威脅行為者反復嘗試大量使用用戶名和密碼組合登錄賬戶或設備，直到找到正確的組合。一旦他們獲得了正確的憑證，就可以利用這些憑證劫持設備或入侵網絡。

根據威脅監控平臺The Shadowserver Foundation的報告，自去年以來，這種暴力破解攻擊一直在持續，每天有近280萬個源IP地址參與其中。其中，大部分IP地址（110萬個）來自巴西，其次是土耳其、俄羅斯、阿根廷、摩洛哥和墨西哥，涉及眾多國家。

攻擊目標與手段

這些攻擊主要針對邊緣安全設備， 比如防火墻、VPN、網關和其他安全設備，這些設備通常暴露在互聯網上，以便于遠程訪問。而發動攻擊的設備大多是MikroTik、華為、思科、Boa和中興的路由器和物聯網設備，這些設備通常被大型惡意軟件僵尸網絡攻陷。

Shadowserver Foundation在聲明中確認，這種活動已經持續了一段時間，近期規模發生了顯著擴大。他們還表示，攻擊IP地址分布在許多網絡和自治系統中，很可能是僵尸網絡或與住宅代理網絡相關的操作。

住宅代理的濫用

住宅代理是互聯網服務提供商（ISP）分配給家庭用戶的IP地址，因其能夠偽裝成普通家庭用戶流量，常被用于網絡犯罪、數據抓取、繞過地理限制、廣告驗證、搶購鞋票等非法活動。這些代理通過住宅網絡路由流量，使攻擊行為更難被檢測。

此次被攻擊的網關設備可能被用作住宅代理操作中的出口節點，通過企業網絡路由惡意流量。由于這些企業網絡通常信譽良好，因此攻擊行為更隱蔽，更難被發現和阻止。

如何保護邊緣設備？

為了保護邊緣設備免受暴力破解攻擊，建議采取以下措施：更改默認管理員密碼為強且獨特的密碼；啟用多因素認證（MFA）；僅允許可信IP地址訪問；如無必要，禁用Web管理界面。此外，及時更新設備的最新固件和安全補丁，修復漏洞，是防止攻擊者入侵的關鍵。

去年4月，思科曾警告稱，全球范圍內針對思科、CheckPoint、Fortinet、SonicWall和Ubiquiti設備的大規模暴力破解活動正在展開。同年12月，Citrix也發出警告，稱全球范圍內的Citrix Netscaler設備正遭受密碼噴射攻擊。