安全厂商一项研究发现,微软Windows的远程PC机协议(Remote Desktop Protocol,RDP)服务可能被用来放大分布式拒绝服务(DDoS)流量,对目标服务器发动攻击。
Windows RDP服务主要是用于提供以验证VDI(virtual desktop infrastructure)连接访问Windows工作站和服务器。Windows系统管理员可以组态从TCP/3389或UDP/3389传输端口执行RDP服务。但安全厂商NetScout研究人员发现,以UDP/3389上执行的Windows RDP服务可被滥用来发动UDP反射/放大攻击,放大倍率可高达85.9:1。
ZDNet报道,85.9的放大倍率已经使RDP服务成为DDoS攻击的利器之一,逼近Jenkins服务器(100倍)、DNS(179倍)、WS-Discovery(300到500倍)、NTP(最高550倍)及Memcached(最高5000倍)。
Netscout发现,网络上有近3.3万台Windows RDP服务器有被滥用的风险。
事实上,已经有攻击者正在利用这些服务器。研究人员近日发现到的放大攻击流量,是由UDP/3389 port反射出来,送往目标IP及UDP port的未分割(non-fragmented)UDP封包。不同于合法的RDP连接流量,这类放大攻击封包塞入一长串的0,长度高达1,260 bytes。他们侦测到的攻击流量,小至20Gbps,大到750Gbps。
研究人员还指出,攻击者除了一开始使用特定的DDoS网络基础架构,之后便开始将RDP反射/放大手法武装化(即加入攻击程序),成为DDoS-for-hire工具/施压网站(booter/stresser)服务的一部分,向黑用户群体体招手。
研究人员指出,RDP反射/放大攻击将对Windows RDP服务器被滥用的企业造成极大损害,可能的伤害包括关键远程访问服务部分或完全中断,以及因为传输带宽被占用、状态防火墙、负载均衡的状态表(state-table)耗损带来的服务减损等等。此外,网络ISP若对所有UDP/3389流量进行全面过滤,则可能错杀合法流量,像是合法的RDP远程连接等。
研究人员因此呼吁管理员应检查企业网络(或ISP的客户网络)上,是否有被滥用的Windows RDP服务器,并建议将Windows RDP服务器部署在VPN集中器(VPN concentrator)后防止被滥用,仅以VPN连接访问RDP服务器。若无法部署VPN集中器,则最好能关闭以UDP/3389启动RDP服务。