Добрый вечер,

SQL Server спроектирован так, что безопасность приходится обеспечивать подручными
средствами, нет даже ограничения максимального числа попыток логина (я имею ввиду
SQL Server Authentication). Кстати, ОС Windows также имеет проблему с аудитом -
имя учетной записи, под которой пытались зайти и не смогли, отображается в журнале
ОС, а пароль - нет, хотя это нелогично - если бы знать, что пароль, который пробовал
злоумышленник на символ отличается от реального, то вычислить нарушителя было бы проще...

Теперь о том, как 'отловить' злоумышленников, атакующих SQL Server. Для этого следует
использовать IDS (Intrusion Detection System), причем лучше т.н. Stateful, т.е.
разбирающую протокол (в данном случае TDS), либо хороший брандмауэр, способный работать
с пакетами на уровне API для конечного пользователя. На худой конец подойдет Microsoft
Network Monitor (есть в поставке Windows 2000 Server), но в этом случае придется
попотеть... Итак, запускаем на ночь отлов пакетов с фильтром следующего вида:

\nPattern: 27007300610027
Offset (in hex): 75

Pattern: 6600610069006C00650064
Offset (in hex): 55


Под утро можно выловить IP негодяев... Если Вы хотите разобраться в тонкостях работы
протокола TDS (что, кстати, позволит задать фильтр еще гибче на уровне статусных
полей, а не строк, а также узнать какие именно пароли пробовали) то обратитесь к
замечательному ресурсу http://www.freetds.org и просто шедевру MS SQL Server JDBC Driver,
который "на ура" переводит почти в чистую Java при помощи великолепного mocha ( http://www.brouhaha.com/~eric/computers/mocha.html)...

Удачи

Небольшая поправка: если используется шифрование, то способ не подходит, конечно.

2Владимир

Узнаете адрес хоста, который 'маскарадит'. Это, как правило, Linux машина,
служащая точкой выхода в Сеть. Далее отправите администратору сообщение...

Удачи