研究人员发现有Windows RDP 服务器被DDoS for hire滥用服务放大DDoS 在攻击活动中。RDP服务是Windows运行系统内置服务TCP 3389或 UDP 3389端口上,经过认证的远程虚拟桌面接触设施来访问Windows服务器和工作站。
Netscout研究人员发现有大约14万个漏洞Windows RDP服务器可以通过互联网访问,一些攻击者可以使用RDP 服务器UDP 反射/放大DDOS攻击。研究人员说,攻击者可以发送恶意伪造UDP包到RDP 服务器的UDP端口,RDP 服务器会反射到DDOS攻击目标导致大量垃圾流冲击目标系统,放大率达到85.9,攻击峰值约750 Gbps。
RDP 服务器已经成为一种新的服务器DDOS 攻击向量,经过初步使用后,黑客大规模部署,RDP吴启华已经加入了反射/放大DDoS-for-hire 在服务中,大量攻击者可以接触使用。
Netscout目前,它还要求暴露在互联网上的操作RDP 服务器的系统管理员将这些服务器离线并转移到其他服务器TCP 端口或将RDP 服务器放置在虚拟网络中,限制用户访问有漏洞的系统。
自2018年12约起,一共出现过5次大的DDOS包括放大攻击源Constrained Application Protocol (CoAP)、Web Services Dynamic Discovery (WS-DD)协议、Apple Remote Management Service (ARMS)、Jenkins服务器和Citrix网关。据FBI 消息称,前四个攻击源实际攻击中被滥用。
2019年,Netscout也发现了在macOS 滥用服务器Apple Remote Management Service (ARMS) 作为反射/放大攻击向量DDOS攻击。目前,滥用ARMS进行DDOS 在野攻击峰值达到70 gbps、放大率达到35.5。
详见:https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification
本文翻译自:https://www.zdnet.com/article/windows-rdp-servers-are-being-abused-to-amplify-ddos-attacks/如果转载,请注明原始地址。