我们谈到了RDP多次前。这是一个很长一段时间的暴力攻击的流行目标,但攻击者现在已经找到了一种滥用它的新方法。

在大流行期间,远程访问变得更加重要,尽可能多的人尝试在家中工作。这使得以安全的方式配置RDP服务更为重要。

快速回顾RDP

RDP很短远程桌面协议。远程桌面正是名称暗示的,可以远程控制计算机系统的选项。这几乎感觉好像你实际上坐在那台计算机后面。由于目前的大流行,很多人都在家工作,可能会这样做。

所有这些从家中工作都有更多RDP端口的副作用。不仅要使员工能够从家中访问公司资源,还可以使IT员工解决工人设备上的问题。许多企业依赖于技术支持团队使用RDP来解决员工系统问题。

我们警告了在我们的帖子中揭露RDP的后果由于更开放的RDP端口,蛮力攻击增加。我们在我们的帖子中提供了一些安全措施如何保护您的RDP访问从赎金软件攻击。但这一次我们将谈论使用开放式RDP端口的不同类型的攻击。

RDP作为DDOS攻击矢量

Windows Systems管理员可以通过Windows Systems管理员配置RDP服务(通常是端口3389)和/或UDP端口(3389)。在UDP端口启用时,可以滥用Microsoft Windows RDP服务以启动具有85.9:1的放大比率的UDP反射攻击。

由该放大攻击引出的流​​量由来自UDP端口的非分段化UDP数据包组成,并针对受害者的IP地址上的UDP端口。从日志中,这些攻击引起的数据包从合法的RDP会话流量​​易于辨别,因为放大的攻击分组长度一致为1,260字节,并且填充长条零。

打开RDP港口

在撰写本文时,索引在线设备及其服务的Shodan Search引擎,列出了超过360万的结果,搜索“远程桌面”和NetScout.确定了33,000个可能滥用这种类型的DDOS攻击的Windows RDP服务器。

Shodan搜索结果远程桌面

这种攻击的后果

目的地IP地址的所有者将会遇到一个DDOS攻击。DDOS代表分布式拒绝服务。它是一种网络攻击,涉及黑客强制许多系统向一个特定服务器发送网络通信请求。如果攻击成功,则接收服务器将由无意义请求过载。它会崩溃或变得如此忙,即普通用户无法使用它。

DDOS攻击可能导致:

  • 失望的用户
  • 丢失数据
  • 收入损失
  • 失去工作时间/生产力
  • 对企业的声誉造成损害
  • 违反受害者及其用户之间的合同

我们讨论了我们职位中DDOS目标的预防措施DDOS攻击正在增长:企业可以做什么?

但滥用服务所有者也有后果。这些可能包括远程访问服务的中断或减速,以及由于附加网络硬件和服务的过载导致的额外服务中断。

如何避免帮助DDOS攻击

有一些事情可以做些,以避免被绳索进入RDP DDOS攻击。它们对其他RDP相关攻击也很有用。

  • 将RDP访问放在VPN后面,因此它不可直接访问。
  • 例如,使用远程桌面网关服务器,例如,提供一些额外的安全性和操作福利,例如2FA。此外,RDP会话的日志可以特别有用。
  • 如果通过UDP提供远程访问的RDP服务器无法立即移动在VPN集中器后面,建议通过UDP禁用RDP。

流量的日志记录将作为预防措施有效,但它将使您能够弄清楚可能发生的事情并帮助您关闭防御中的任何差距。

保持安全,每个人!