RDP服务器被用于DDoS放大攻击

研究人员发现有Windows RDP 服务器被DDoS for hire服务滥用用于放大DDoS 攻击活动中。微软RDP服务是Windows系统的内置服务，运行了TCP 3389或 UDP 3389端口上，经过认证的远程虚拟桌面接触设施来访问Windows服务器和工作站。

Netscout研究人员发现有约14万台有漏洞的Windows RDP服务器可以通过互联网访问，而且有攻击者利用这些RDP 服务器来进行UDP 反射/放大DDOS攻击。研究人员称攻击者可以发送恶意伪造的UDP包到RDP 服务器的UDP端口，RDP 服务器就会反射到DDOS攻击的目标，导致大量的垃圾流量冲击到目标系统，放大比率达到了85.9，攻击峰值约750 Gbps。

RDP 服务器已经成为一种新的DDOS 攻击向量，在经过一段初步的使用后，黑客就会大规模地部署，RDP反射/放大已经被吴启华了，加入到了DDoS-for-hire 服务中，使得大量攻击者都可以接触使用。

Netscout目前也在要求运行暴露在互联网上的RDP 服务器的系统管理员将这些服务器下线，转到其他的TCP 端口或将RDP 服务器置于VPN 后来限制用户对有漏洞的系统的访问。

自2018年12约起，一共出现过5次大的DDOS放大攻击源，包括Constrained Application Protocol (CoAP)、Web Services Dynamic Discovery (WS-DD)协议、Apple Remote Management Service (ARMS)、Jenkins服务器和Citrix网关。据FBI 消息，前4个攻击源已经在现实的攻击中被滥用了。

2019年，Netscout也发现了在macOS 服务器上滥用Apple Remote Management Service (ARMS) 作为反射/放大攻击向量的DDOS攻击。目前，滥用ARMS进行DDOS 攻击的在野攻击峰值达到了70 gbps、放大率达到35.5。

更多细节参见：https://www.netscout.com/blog/asert/microsoft-remote-desktop-protocol-rdp-reflectionamplification