DDoSers滥用Microsoft RDP以使攻击更强大

一家安全公司本周表示，用于租用的DDoS服务正在滥用Microsoft远程桌面协议，以增加使网站和其他在线服务瘫痪的分布式拒绝服务攻击的火力。

远程桌面协议通常缩写为RDP，它是Microsoft Windows功能的基础，该功能允许一个设备通过Internet登录到另一设备。企业主要使用RDP来节省员工访问计算机时必须亲自出现的成本或麻烦。

与许多经过身份验证的系统一样，RDP使用更长的位序列来响应登录请求，从而在两方之间建立了连接。安全公司Netscout表示，所谓的引导程序/压力测试服务会收费，用足够的数据轰炸互联网地址，使它们脱机。最近，它已将RDP作为扩大攻击的一种手段。

这种放大功能使攻击者仅拥有少量资源即可增强他们定向到目标的数据大小。该技术的工作原理是在放大服务处反射相对少量的数据，从而在最终目标处反射大量的数据。通过85.9到1的放大倍数，定向到RDP服务器的每秒10 GB的请求将为目标提供大约860Gbps的速度。

Netscout研究人员写道：“观察到的攻击大小范围为〜20 Gbps至〜750 Gbps。” “像通常使用更新的DDoS攻击媒介的情况一样，在高级攻击者开始使用定制的DDoS攻击基础结构后，似乎已经将RDP反射/放大武器化，并添加到所谓的booter /强调DDoS租用服务，使普通攻击者无法承受。”

DDoS放大攻击可追溯到几十年前。随着合法的互联网用户共同阻止一个媒介，攻击者会找到新的媒介来代替它们。 DDoS放大器包括开放的DNS解析器，物联网设备使用的WS-Discovery协议以及Internet的网络时间协议。最近的内存中最强大的放大向量之一是所谓的memcached协议，其系数为51,000到1。DDoS放大攻击通过使用UDP网络数据包来工作，而UDP网络数据包很容易在许多网络上被欺骗。攻击者向向量发送请求，并欺骗标头以使请求看起来像来自目标。然后，放大向量将响应发送到目标，该目标的地址出现在欺骗数据包中。

Netscout说，Internet上大约有33,000个RDP服务器可能会被放大攻击。除了使用UDP数据包，RDP还可以依赖TCP数据包。

Netscout建议只能通过虚拟专用网络服务访问RDP服务器。 如果提供通过UDP进行远程访问的RDP服务器无法立即移到VPN集中器之后，管理员应暂时禁用通过UDP的RDP。 不安全的RDP除了损害整个Internet之外，还可能危害将其暴露于Internet的组织。 Netscout解释说：“对于Windows RDP服务器被滥用为反射器/放大器的组织，RDP反射/放大器攻击的附带影响可能很大。” “这可能包括关键任务远程访问服务的部分或全部中断，以及由于传输容量消耗，状态防火墙的状态表耗尽，负载平衡器等导致的其他服务中断。”