Windows远程桌面协议（RDP）服务器现在被DDoS租用服务滥用，以放大分布式拒绝服务（DDoS）攻击。

Microsoft RDP服务是在TCP / 3389和/或UDP / 3389上运行的内置Windows服务，使经过身份验证的远程虚拟桌面基础结构（VDI）访问Windows服务器和工作站。

通过针对启用了UDP / 3389的RDP的Windows服务器，利用这种新的UDP反射/放大攻击向量的攻击，放大比例为85.9：1，峰值为〜750 Gbps。

根据今天早些时候发布的Netscout咨询，大约14,000台易受攻击的Windows RDP服务器可以通过Internet进行访问 。

虽然起初它仅由高级威胁参与者使用，但此新发现的DDoS放大向量现在已由DDoS引导程序使用。

“像通常使用更新的DDoS攻击媒介的情况一样，在高级攻击者开始使用定制的DDoS攻击基础结构后，似乎已经对RDP反射/放大进行了武器化，并添加到所谓的booter /强调DDoS租用服务，使普通攻击者无法承受。” Netscout说。

威胁参与者，黑客主义者或恶作剧者会使用这种平台，而没有技能或时间来投资来建立自己的DDoS基础架构。

他们出于各种原因租用引导程序的服务，以针对服务器或站点的方式发起大规模DDoS攻击，从而触发拒绝服务的行为，通常会使其瘫痪或造成中断。

缓解措施

受放大器滥用而使Windows RDP服务器受到攻击的组织可能会完全关闭远程访问服务，以及“由于传输容量消耗，状态防火墙的状态表耗尽，负载平衡器等导致的其他服务中断”。

虽然过滤UDP / 3389上的所有流量可以缓解此类攻击，但这也可能导致合法连接和流量被阻止，包括RDP会话答复。

为了适当地减轻此类攻击的影响，组织可以完全禁用Windows RDP服务器上基于UDP的易受攻击的服务，也可以将服务器移到VPN集中器网络设备之后，使其仅通过VPN可用。

因此，还建议风险组织为面向公众的服务器实施DDoS防御，以确保它们可以正确响应传入的RDP反射/放大DDoS攻击。

在2019年，Netscout还观察到DDoS攻击滥用了macOS服务器上运行的Apple远程管理服务（ARMS）作为反射/放大向量。

当时发现的滥用ARMS的DDoS攻击达到了70 Gbps的峰值，放大率为35.5：1。

中钢协提供 指导， 就如何避免成为DDoS攻击的受害者，如何检测DDoS攻击，以及什么行动，同时采取DDoSed。