Trong số tất cả các cuộc tấn công mà chúng ta có thể tìm thấy trên mạng, DDoS đã tăng lên rất nhiều trong những năm gần đây. Đây là một sự cố nhằm gây ra từ chối dịch vụ. Ví dụ: bạn có thể làm cho một trang web không khả dụng với người dùng. Họ gửi vô số yêu cầu để nó sụp đổ. Trong bài viết này, chúng tôi đề cập đến cách Windows Remote Desktop Máy chủ được sử dụng để mở rộng quy mô Các cuộc tấn công DDoS .
Họ sử dụng máy chủ máy tính để bàn từ xa của Windows trong DDoS
Hãy nhớ rằng tất cả các dịch vụ từ xa đã trở nên phổ biến trong thời gian gần đây. Đại dịch Covid-19 đã mang đến những thay đổi quan trọng và một trong số đó là ở cách chúng ta kết nối với Internet, giao tiếp và cả hoạt động. Điều này tạo cơ hội cho tội phạm mạng, những kẻ tìm ra các phương pháp mới để khai thác các cuộc tấn công của chúng. Vào cuối ngày, họ có xu hướng tấn công những gì có nhiều người dùng hơn.
Lần này là Windows Remote Desktop (RDP). Họ sử dụng nó với mục đích khuếch đại các cuộc tấn công từ chối dịch vụ (DDoS) phân tán. Dịch vụ RDP được tích hợp trong hệ điều hành Windows và sử dụng cổng TCP 3389 và / hoặc UDP 3389. Nó cho phép truy cập được xác thực vào cơ sở hạ tầng máy tính để bàn ảo tới các máy chủ và máy trạm.
Theo Netscout , có khoảng 14,000 máy chủ Windows RDP dễ bị tấn công có thể được truy cập thông qua Internet. Chúng hiện được sử dụng bởi vectơ khuếch đại DDoS mới này. Nó đã được thêm vào như một vũ khí của những gì được gọi là booters, dịch vụ DDoS cho thuê. Điều này làm cho nó có sẵn cho người dân nói chung.
Họ cho thuê ủng dịch vụ để khởi động các cuộc tấn công DDoS quy mô lớn nhắm mục tiêu vào các máy chủ hoặc trang web có thể có những lý do khác nhau, gây ra tình trạng từ chối dịch vụ thường làm sập hoặc gây ra sự cố.
Làm thế nào để tránh vấn đề này và được bảo vệ
Một tổ chức bị ảnh hưởng bởi sự cố khuếch đại cuộc tấn công DDoS này bằng cách tận dụng Máy chủ Windows RDP có thể gặp phải tình trạng tắc nghẽn hoàn toàn các dịch vụ truy cập từ xa, cũng như sự cố liên tục.
Bạn có thể tránh vấn đề này bằng cách tạo một bộ lọc của tất cả lưu lượng truy cập trên UDP 3389. Bạn có thể giảm thiểu các cuộc tấn công này, nhưng bạn cũng có thể chặn các kết nối và lưu lượng hợp pháp, bao gồm các phản hồi từ phiên RDP.
Một lựa chọn khác là vô hiệu hóa hoàn toàn những người dễ bị tổn thương Dựa trên UDP dịch vụ trên máy chủ Windows RDP hoặc chỉ cung cấp các máy chủ thông qua VPN bằng cách di chuyển chúng phía sau thiết bị mạng trung tâm VPN.
Tương tự, các tổ chức gặp rủi ro cũng nên thực hiện Phòng thủ DDoS cho các máy chủ công cộng để đảm bảo rằng chúng có thể phản hồi thích hợp với một cuộc tấn công DDoS sắp tới.
Điều quan trọng là luôn tránh những kiểu tấn công này. Trong một bài viết khác, chúng tôi đã nói về cách giảm thiểu các cuộc tấn công DDoS trên máy chủ. Một loạt các khuyến nghị mà chúng ta phải đưa vào thực tế để không ảnh hưởng đến bảo mật và không gặp sự cố trên mạng.
