• IT-Karriere:
  • Services:

Angriffe: Microsofts RDP wird vermehrt von DDoS-Anbietern genutzt

Um DDoS-Angriffe zu verstärken, wird gern auf Dienste von Dritten gesetzt. In letzter Zeit vermehrt auf RDP.

Artikel veröffentlicht am ,
Netzwerkkabel in einem Switch
Netzwerkkabel in einem Switch (Bild: Michael Schwarzenberger/Pixabay)

Microsofts Remote Desktop Protocol (RDP) dient eigentlich dazu, mehrere Windows-Rechner miteinander zu verbinden, doch DDoS-Dienste missbrauchen das Protokoll, um Distributed-Denial-of-Service-Angriffe (DDoS) auf andere Dienste durchzuführen. Dabei werden Dienste oder Server mit umfangreichen Anfragen überhäuft, bis sie unter der Last zusammenbrechen. DDoS-Dienste bieten derlei Angriffe gegen Bezahlung an.

Stellenmarkt
  1. Stadtverwaltung Bocholt, Bocholt
  2. Kreis Paderborn, Paderborn

In letzter Zeit haben solche Dienste laut der Sicherheitsfirma Netscout verstärkt auf RDP zurückgegriffen, um ihre Angriffe zu verstärken. Wie häufig bei Systemen mit Authentifizierung ist auch bei RDP die Antwort auf eine Anfrage deutlich umfangreicher als die Anfrage selbst.

Diesen Umstand nutzen die DDoS-Dienste für sogenannte Reflection- oder Amplification-Angriffe aus: Sie senden gefälschte Datenpakete an einen Dienst und setzen dabei die IP-Adresse des Opfers als Quelle ein. Der Dienst antwortet automatisch und sendet ein Vielfaches der empfangenen Daten an die IP-Adresse des Opfers.

Allerdings lässt sich eine falsche Absenderadresse nur per UDP setzen, da hier im Unterschied zu TCP nur Pakete versendet werden, nicht jedoch eine Verbindung zwischen den beteiligten Rechnern ausgehandelt wird. Neben RDP wurden bereits der Domain Name Service (DNS) und die Zeitsynchronisierung NTP auf diese Weise genutzt.

RDP verstärkt DDoS-Angriffe

Im Fall von RDP liegt die Quote laut Netscout bei 85,9 zu 1. Sendet ein Angreifer also beispielsweise 1 GBit pro Sekunde an einen RDP-Dienst, schickt dieser rund 86 GBit in der Sekunde an das Opfer. Der Umfang bereits beobachteter Angriffe reiche von um die 20 GBit/s bis hin zu 750 GBit/s, schreibt das Forscherteam von Netscout. Neben dem eigentlichen Opfer können dabei als Kollateralschaden auch die RDP-Server in die Knie gezwungen werden.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

"Wie bei neueren DDoS-Angriffsvektoren üblich, scheint es, dass nach einer anfänglichen Phase des Einsatzes durch hochentwickelte Angreifer mit Zugang zu maßgeschneiderter DDoS-Angriffsinfrastruktur die RDP-Reflection/Amplification waffentauglich gemacht und dem Arsenal sogenannter Booter/Stresser-DDoS-for-hire-Dienste hinzugefügt wurde, wodurch sie in die Reichweite der allgemeinen Angreiferpopulation gelangt", fasst Netscout die Entwicklung zusammen. Insgesamt gebe es rund 33.000 RDP-Server im Internet, die für derlei Angriffe missbraucht werden könnten. Wer sich und andere schützen will, sollte seinen RDP-Server als TCP-only betreiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X 469€)
  2. (reduzierte Überstände, Restposten & Co.)

Michael H. 26. Jan 2021 / Themenstart

In der Regel sind meines Wissens nach ALLE kommerziellen Windows Server bei Strato...

MarcusK 25. Jan 2021 / Themenstart

naja, Windows 7 hat auch ohne UDP funktioniert. Und da war die Benutzererfahrung auch...

PHPGangsta 25. Jan 2021 / Themenstart

Das Gefühl habe ich auch. In der Quelle steht "750 Gbps", hier wird das mit "750 GByte...

Kommentieren


Folgen Sie uns
       


Gopro Hero 9 Black - Test

Ist eine Kamera mit zwei Displays auch doppelt so gut?

Gopro Hero 9 Black - Test Video aufrufen
    •  /