研究人员发现,WindowsRDP服务器被DDoS租用服务滥用,以放大DDoS攻击活动。MicrosoftRDP服务是Windows系统的内置服务。它在TCP3389或UDP3389端口上运行。它是经过认证的远程虚拟桌面联系工具,用于访问Windows服务器和工作站。Netscout研究人员发现,约有14万台易受攻击的WindowsRDP服务器可以通过互联网访问,攻击者利用这些RDP服务器进行UDP反射/放大DDOS攻击。研究人员表示,攻击者可以向RDP服务器的UDP端口发送恶意伪造的UDP数据包,RDP服务器会向DDOS攻击目标进行反射,造成大量垃圾流量命中目标系统,放大倍数85.9,攻击峰值约为750Gbps。RDP服务器已成为新的DDOS攻击媒介。经过一段时间的初步使用后,黑客会大规模部署。吴启华在DDoS-for-hire服务中加入了RDP反射/放大,使得大量的攻击谁都能利用。Netscout目前还要求运行暴露于Internet的RDP服务器的系统管理员让这些服务器脱机、切换到其他TCP端口或将RDP服务器置于虚拟网络中以限制用户访问易受攻击的系统。自2018年12月以来,DDOS放大攻击源主要有五种,包括受限应用协议(CoAP)、Web服务动态发现(WS-DD)协议、AppleRemoteManagementService(ARMS)、Jenkins服务器和Citrix网关。根据FBI的说法,前4种攻击媒介已在现实世界的攻击中被滥用。2019年,Netscout还发现了一种DDOS攻击,该攻击滥用Apple远程管理服务(ARMS)作为macOS服务器上的反射/放大攻击向量。目前利用ARMS进行DDOS攻击的现场攻击峰值已经达到70Gbps,放大率达到35.5。更多详情参见:https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification本文翻译自:https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/如有转载请注明出处。
