Angriffe: Microsofts RDP wird vermehrt von DDoS-Anbietern genutzt

Um DDoS-Angriffe zu verstärken, wird gern auf Dienste von Dritten gesetzt. In letzter Zeit vermehrt auf RDP.

Artikel veröffentlicht am ,
Netzwerkkabel in einem Switch
Netzwerkkabel in einem Switch (Bild: Michael Schwarzenberger/Pixabay)

Microsofts Remote Desktop Protocol (RDP) dient eigentlich dazu, mehrere Windows-Rechner miteinander zu verbinden, doch DDoS-Dienste missbrauchen das Protokoll, um Distributed-Denial-of-Service-Angriffe (DDoS) auf andere Dienste durchzuführen. Dabei werden Dienste oder Server mit umfangreichen Anfragen überhäuft, bis sie unter der Last zusammenbrechen. DDoS-Dienste bieten derlei Angriffe gegen Bezahlung an.

Stellenmarkt
  1. IT-Administrator mit Schwerpunkt Elektronische Akte (w/m/d)
    IT-Systemhaus der Bundesagentur für Arbeit, Nürnberg
  2. IT-Applikationsspezialist (m/w/d)
    Ortenau Klinikum, Offenburg
Detailsuche

In letzter Zeit haben solche Dienste laut der Sicherheitsfirma Netscout verstärkt auf RDP zurückgegriffen, um ihre Angriffe zu verstärken. Wie häufig bei Systemen mit Authentifizierung ist auch bei RDP die Antwort auf eine Anfrage deutlich umfangreicher als die Anfrage selbst.

Diesen Umstand nutzen die DDoS-Dienste für sogenannte Reflection- oder Amplification-Angriffe aus: Sie senden gefälschte Datenpakete an einen Dienst und setzen dabei die IP-Adresse des Opfers als Quelle ein. Der Dienst antwortet automatisch und sendet ein Vielfaches der empfangenen Daten an die IP-Adresse des Opfers.

Allerdings lässt sich eine falsche Absenderadresse nur per UDP setzen, da hier im Unterschied zu TCP nur Pakete versendet werden, nicht jedoch eine Verbindung zwischen den beteiligten Rechnern ausgehandelt wird. Neben RDP wurden bereits der Domain Name Service (DNS) und die Zeitsynchronisierung NTP auf diese Weise genutzt.

RDP verstärkt DDoS-Angriffe

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Im Fall von RDP liegt die Quote laut Netscout bei 85,9 zu 1. Sendet ein Angreifer also beispielsweise 1 GBit pro Sekunde an einen RDP-Dienst, schickt dieser rund 86 GBit in der Sekunde an das Opfer. Der Umfang bereits beobachteter Angriffe reiche von um die 20 GBit/s bis hin zu 750 GBit/s, schreibt das Forscherteam von Netscout. Neben dem eigentlichen Opfer können dabei als Kollateralschaden auch die RDP-Server in die Knie gezwungen werden.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

"Wie bei neueren DDoS-Angriffsvektoren üblich, scheint es, dass nach einer anfänglichen Phase des Einsatzes durch hochentwickelte Angreifer mit Zugang zu maßgeschneiderter DDoS-Angriffsinfrastruktur die RDP-Reflection/Amplification waffentauglich gemacht und dem Arsenal sogenannter Booter/Stresser-DDoS-for-hire-Dienste hinzugefügt wurde, wodurch sie in die Reichweite der allgemeinen Angreiferpopulation gelangt", fasst Netscout die Entwicklung zusammen. Insgesamt gebe es rund 33.000 RDP-Server im Internet, die für derlei Angriffe missbraucht werden könnten. Wer sich und andere schützen will, sollte seinen RDP-Server als TCP-only betreiben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Michael H. 26. Jan 2021

In der Regel sind meines Wissens nach ALLE kommerziellen Windows Server bei Strato...

MarcusK 25. Jan 2021

naja, Windows 7 hat auch ohne UDP funktioniert. Und da war die Benutzererfahrung auch...

PHPGangsta 25. Jan 2021

Das Gefühl habe ich auch. In der Quelle steht "750 Gbps", hier wird das mit "750 GByte...



Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Unbound: Neues Need for Speed verbindet Gaspedal mit Graffiti
    Unbound
    Neues Need for Speed verbindet Gaspedal mit Graffiti

    Veröffentlichung im Dezember 2022 nur für PC und die neuen Konsolen: Electronic Arts hat ein sehr buntes Need for Speed vorgestellt.

  2. Google: Pixel 7 und 7 Pro kosten so viel wie die Vorgänger
    Google
    Pixel 7 und 7 Pro kosten so viel wie die Vorgänger

    Googles Pixel-7-Smartphones kommen mit neuem Tensor-Chip, ansonsten ist die Hardware vertraut. Neuigkeiten gibt es bei der Software.

  3. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /