Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Angriffe: Microsofts RDP wird vermehrt von DDoS-Anbietern genutzt

Um DDoS -Angriffe zu verstärken, wird gern auf Dienste von Dritten gesetzt. In letzter Zeit vermehrt auf RDP.
/ Moritz Tremmel
19 Kommentare News folgen (öffnet im neuen Fenster)
Netzwerkkabel in einem Switch (Bild: Michael Schwarzenberger/Pixabay)
Netzwerkkabel in einem Switch Bild: Michael Schwarzenberger/Pixabay

Microsofts Remote Desktop Protocol (RDP) dient eigentlich dazu, mehrere Windows-Rechner miteinander zu verbinden, doch DDoS-Dienste missbrauchen das Protokoll, um Distributed-Denial-of-Service-Angriffe (DDoS) auf andere Dienste durchzuführen. Dabei werden Dienste oder Server mit umfangreichen Anfragen überhäuft, bis sie unter der Last zusammenbrechen. DDoS-Dienste bieten derlei Angriffe gegen Bezahlung an.

In letzter Zeit haben solche Dienste laut der Sicherheitsfirma Netscout(öffnet im neuen Fenster) verstärkt auf RDP zurückgegriffen, um ihre Angriffe zu verstärken. Wie häufig bei Systemen mit Authentifizierung ist auch bei RDP die Antwort auf eine Anfrage deutlich umfangreicher als die Anfrage selbst.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Diesen Umstand nutzen die DDoS-Dienste für sogenannte Reflection- oder Amplification-Angriffe aus: Sie senden gefälschte Datenpakete an einen Dienst und setzen dabei die IP-Adresse des Opfers als Quelle ein. Der Dienst antwortet automatisch und sendet ein Vielfaches der empfangenen Daten an die IP-Adresse des Opfers.

Allerdings lässt sich eine falsche Absenderadresse nur per UDP setzen, da hier im Unterschied zu TCP nur Pakete versendet werden, nicht jedoch eine Verbindung zwischen den beteiligten Rechnern ausgehandelt wird. Neben RDP wurden bereits der Domain Name Service (DNS) und die Zeitsynchronisierung NTP auf diese Weise genutzt.

RDP verstärkt DDoS-Angriffe

Im Fall von RDP liegt die Quote laut Netscout bei 85,9 zu 1. Sendet ein Angreifer also beispielsweise 1 GBit pro Sekunde an einen RDP-Dienst, schickt dieser rund 86 GBit in der Sekunde an das Opfer. Der Umfang bereits beobachteter Angriffe reiche von um die 20 GBit/s bis hin zu 750 GBit/s, schreibt das Forscherteam von Netscout. Neben dem eigentlichen Opfer können dabei als Kollateralschaden auch die RDP-Server in die Knie gezwungen werden.

Anzeige

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

"Wie bei neueren DDoS-Angriffsvektoren üblich, scheint es, dass nach einer anfänglichen Phase des Einsatzes durch hochentwickelte Angreifer mit Zugang zu maßgeschneiderter DDoS-Angriffsinfrastruktur die RDP-Reflection/Amplification waffentauglich gemacht und dem Arsenal sogenannter Booter/Stresser-DDoS-for-hire-Dienste hinzugefügt wurde, wodurch sie in die Reichweite der allgemeinen Angreiferpopulation gelangt," fasst Netscout die Entwicklung zusammen. Insgesamt gebe es rund 33.000 RDP-Server im Internet, die für derlei Angriffe missbraucht werden könnten. Wer sich und andere schützen will, sollte seinen RDP-Server als TCP-only betreiben.

Zur Startseite 19 Kommentare

Relevante Themen

SecurityCybercrimeDatensicherheitServerHackerDoS