Windows RDP服务器可被用来放大DDoS攻击

安全厂商一项研究发现，微软Windows的远端桌机协定（Remote Desktop Protocol，RDP）服务可能被用来放大分散式阻断服务（DDoS）流量，对目标服务器发动攻击。

Windows RDP服务主要是用于提供以验证VDI（virtual desktop infrastructure）连线存取Windows工作站和服务器。Windows系统管理员可以组态从TCP/3389或UDP/3389传输埠执行RDP服务。但安全厂商NetScout研究人员发现，以UDP/3389上执行的Windows RDP服务可被滥用来发动UDP反射／放大攻击，放大倍率可高达85.9:1。

ZDNet报导，85.9的放大倍率已经使RDP服务成为DDoS攻击的利器之一，逼近Jenkins服务器（100倍）、DNS（179倍）、WS-Discovery（300到500倍）、NTP（最高550倍）及Memcached（最高5000倍）。

Netscout发现，网络上有近3.3万台Windows RDP服务器有被滥用的风险。

事实上，已经有攻击者正在利用这些服务器。研究人员近日发现到的放大攻击流量，是由UDP/3389 port反射出来，送往目标IP及UDP port的未分割（non-fragmented）UDP封包。不同于合法的RDP连线流量，这类放大攻击封包塞入一长串的0，长度高达1,260 bytes。他们侦测到的攻击流量，小至20Gbps，大到750Gbps。

研究人员还指出，攻击者除了一开始使用特制的DDoS网络基础架构，之后便开始将RDP反射／放大手法武装化（即加入攻击程式），成为DDoS-for-hire工具／施压网站（booter/stresser）服务的一部分，向骇客族群招手。

研究人员指出，RDP反射／放大攻击将对Windows RDP服务器被滥用的企业造成极大损害，可能的伤害包括关键远端存取服务部分或完全中断，以及因为传输带宽被占用、状态防火墙、负载平衡的状态表（state-table）耗损带来的服务减损等等。此外，网络ISP若对所有UDP/3389流量进行全面过滤，则可能错杀合法流量，像是合法的RDP远端连线等。

研究人员因此呼吁管理员应检查企业网络（或ISP的客户网络）上，是否有被滥用的Windows RDP服务器，并建议将Windows RDP服务器部署在VPN集中器（VPN concentrator）后防止被滥用，仅以VPN连线存取RDP服务器。若无法部署VPN集中器，则最好能关闭以UDP/3389启动RDP服务。