Windows远程桌面协议(RDP)服务器现在被DDoS租用服务滥用,以放大分布式拒绝服务(DDoS)攻击。
Microsoft RDP服务是在TCP / 3389和/或UDP / 3389上运行的内置Windows服务,使经过身份验证的远程虚拟桌面基础结构(VDI)访问Windows服务器和工作站。
通过针对启用了UDP / 3389的RDP的Windows服务器,利用这种新的UDP反射/放大攻击向量的攻击,放大比例为85.9:1,峰值为〜750 Gbps。
根据今天早些时候发布的Netscout咨询,大约14,000台易受攻击的Windows RDP服务器可以通过Internet进行访问 。
虽然起初它仅由高级威胁参与者使用,但此新发现的DDoS放大向量现在已由DDoS引导程序使用。
“像通常使用更新的DDoS攻击媒介的情况一样,在高级攻击者开始使用定制的DDoS攻击基础结构后,似乎已经对RDP反射/放大进行了武器化,并添加到所谓的booter /强调DDoS租用服务,使普通攻击者无法承受。” Netscout说。
威胁参与者,黑客主义者或恶作剧者会使用这种平台,而没有技能或时间来投资来建立自己的DDoS基础架构。
他们出于各种原因租用引导程序的服务,以针对服务器或站点的方式发起大规模DDoS攻击,从而触发拒绝服务的行为,通常会使其瘫痪或造成中断。
缓解措施
受放大器滥用而使Windows RDP服务器受到攻击的组织可能会完全关闭远程访问服务,以及“由于传输容量消耗,状态防火墙的状态表耗尽,负载平衡器等导致的其他服务中断”。
虽然过滤UDP / 3389上的所有流量可以缓解此类攻击,但这也可能导致合法连接和流量被阻止,包括RDP会话答复。
为了适当地减轻此类攻击的影响,组织可以完全禁用Windows RDP服务器上基于UDP的易受攻击的服务,也可以将服务器移到VPN集中器网络设备之后,使其仅通过VPN可用。
因此,还建议风险组织为面向公众的服务器实施DDoS防御,以确保它们可以正确响应传入的RDP反射/放大DDoS攻击。
在2019年,Netscout还观察到DDoS攻击滥用了macOS服务器上运行的Apple远程管理服务(ARMS)作为反射/放大向量。
当时发现的滥用ARMS的DDoS攻击达到了70 Gbps的峰值,放大率为35.5:1。
中钢协提供 指导, 就如何避免成为DDoS攻击的受害者,如何检测DDoS攻击,以及什么行动,同时采取DDoSed。