情境示意圖,Photo by Nemanja Jeremic on unsplash

安全廠商一項研究發現,微軟Windows的遠端桌面協定(Remote Desktop Protocol,RDP)服務可能被用來放大分散式阻斷服務(DDoS)流量,對目標伺服器發動攻擊。

Windows RDP服務主要是用於提供以驗證VDI(Virtual Desktop Infrastructure)連線存取Windows工作站和伺服器。Windows系統管理員可以組態從TCP/3389或UDP/3389傳輸埠執行RDP服務。但安全廠商NetScout研究人員發現,以UDP/3389上執行的Windows RDP服務可被濫用來發動UDP反射/放大攻擊,放大倍率可高達85.9:1。

ZDNet報導,85.9的放大倍率已經使RDP服務成為DDoS攻擊的利器之一,逼近Jenkins伺服器(100倍)、DNS(179倍)、WS-Discovery(300到500倍)、NTP(最高550倍)及Memcached(最高5000倍)。

Netscout發現,網路上有近3.3萬臺Windows RDP伺服器有被濫用的風險。

事實上,已經有攻擊者正在利用這些伺服器。研究人員近日發現到的放大攻擊流量,是由UDP/3389 port反射出來,送往目標IP及UDP port的未分割(non-fragmented)UDP封包。不同於合法的RDP連線流量,這類放大攻擊封包塞入一長串的0,長度高達1,260 bytes。他們偵測到的攻擊流量,小至20Gbps,大到750Gbps。

研究人員還指出,攻擊者除了一開始使用特製的DDoS網路基礎架構,之後便開始將RDP反射/放大手法武裝化(即加入攻擊程式),成為DDoS-for-hire工具/施壓網站(booter/stresser)服務的一部份,向駭客族群招手。

研究人員指出,RDP反射/放大攻擊將對Windows RDP伺服器被濫用的企業造成極大損害,可能的傷害包括關鍵遠端存取服務部份或完全中斷,以及因為傳輸頻寬被佔用、狀態防火牆、負載平衡的狀態表(state-table)耗損帶來的服務減損等等。此外,網路ISP若對所有UDP/3389流量進行全面過濾,則可能錯殺合法流量,像是合法的RDP遠端連線等。

研究人員因此呼籲管理員應檢查企業網路(或ISP的客戶網路)上,是否有被濫用的Windows RDP伺服器,並建議將Windows RDP伺服器部署在VPN集中器(VPN concentrator)後防止被濫用,僅以VPN連線存取RDP伺服器。若無法部署VPN集中器,則最好能關閉以UDP/3389啟動RDP服務。

熱門新聞

Advertisement