Parmi toutes les attaques que l'on peut trouver sur le réseau, les DDoS ont beaucoup augmenté ces dernières années. Il s'agit d'un problème destiné à provoquer un déni de services. Par exemple, vous pouvez rendre une page Web indisponible pour les utilisateurs. Ils envoient une multitude de demandes pour qu'il s'effondre. Dans cet article, nous expliquons comment Windows Remote Desktop Les serveurs sont utilisés pour évoluer Les attaques DDoS .
Ils utilisent des serveurs de bureau à distance Windows dans DDoS
Gardez à l'esprit que tous les services à distance ont gagné en popularité ces derniers temps. La pandémie de Covid-19 a apporté des changements importants et l'un d'eux concerne la façon dont nous nous connectons à Internet, communiquons et travaillons. Cela représente une opportunité pour les cybercriminels, qui trouvent de nouvelles méthodes pour exploiter leurs attaques. À la fin de la journée, ils ont tendance à attaquer ce qui a plus d'utilisateurs.
Cette fois c'est Bureau à distance Windows (RDP). Ils l'utilisent dans le but d'amplifier les attaques par déni de service distribué (DDoS). Le service RDP est intégré au système d'exploitation Windows et utilise les ports TCP 3389 et / ou UDP 3389. Il permet un accès authentifié à l'infrastructure de bureau virtuel aux serveurs et aux postes de travail.
Selon Netscout , il existe environ 14,000 XNUMX serveurs Windows RDP vulnérables accessibles via Internet. Ils sont désormais utilisés par ce nouveau vecteur d'amplification DDoS. Il a été ajouté comme une arme de ce que l'on appelle les booters, les services de location DDoS. Cela le rend disponible pour la population générale.
Ils louent des bottes service pour lancer des attaques DDoS à grande échelle ciblant des serveurs ou des sites qui peuvent avoir différentes raisons, déclenchant un déni de service qui les assomme ou provoque des pannes.
Comment éviter ce problème et être protégé
Une organisation qui est affectée par ce problème d'amplification d'attaque DDoS en exploitant Serveurs Windows RDP pourrait subir un blocage complet des services d'accès à distance, ainsi que des pannes continues.
Vous pouvez éviter ce problème en créer un filtre de tout le trafic sur UDP 3389. Vous pouvez atténuer ces attaques, mais vous pouvez également bloquer les connexions et le trafic légitimes, ce qui inclut les réponses de la session RDP.
Une autre option est de désactiver complètement les vulnérables Basé sur UDP service sur les serveurs Windows RDP ou rendre les serveurs disponibles uniquement via VPN en les déplaçant derrière un périphérique réseau de concentrateur VPN.
De même, il est également recommandé que les organisations à risque mettent en œuvre Défenses DDoS pour les serveurs publics afin de s'assurer qu'ils peuvent répondre de manière appropriée à une attaque DDoS entrante.
Il est important de toujours éviter ces types d'attaques. Dans un autre article, nous avons expliqué comment atténuer les attaques DDoS sur les serveurs. Une série de recommandations qu'il faut mettre en pratique pour ne pas compromettre la sécurité et ne pas avoir de problèmes sur le réseau.
