Публично открытые RDP-порты чреваты еще одним риском, вдобавок к неоднократно озвученным нелегитимным подключениям, компрометациям и др. Сервис также может использоваться для DDoS-атак с мощным коэффициентом усиления 86:1 – Reflection/Amplification DDoS атака.
Напомним, среди лидеров атак амплификации или усиления протоколы DNS – с коэффициентом умножения вплоть до 70 и даже максимум 100, ntp – от 20 до 200. Это значит, что в случае с DNS злоумышленник, который контролирует одну машину со скоростью 1 Гбит/с, может эффективно занять до 70-100 Гбит/с трафика на целевом атакующем сервере.
В опубликованной службе RDP особенно уязвим UDP/3389 порт. Усиленный трафик атаки состоит из нефрагментированных пакетов UDP, полученных из порта UDP/3389 и направленных на IP-адрес назначения и порт UDP жертвы по выбору злоумышленника. В отличие от легитимного сеансового трафика RDP, усиленные пакеты атаки имеют длину 1260 байт и дополняются длинными строками нулей.
Исследование рынка теневых сервисов провели эксперты компании Netscout и уже обнаружили предложения услуг DDoS-по-найму с мощностями от 20 Гбит/с вплоть до 750 Гбит/с. А в открытых сетях на сегодняшний день выявлено около 33 000 серверов Windows RDP, которые могут использоваться не по назначению.
Побочное воздействие Reflection/Amplification RDP атак (отражения/усиления RDP) на ваш ресурс потенциально может включать частичное или полное прерывание критически важных служб удаленного доступа, а также дополнительное прерывание обслуживания из-за потребления пропускной способности сетевого оборудования, балансировщиков нагрузки, исчерпания таблиц состояний межсетевых экранов с отслеживанием состояния и т. д.
«Массовая фильтрация трафика неприменима ввиду потенциальной переблокировки законного трафика и легитимных ответов удаленного сеанса RDP. Более эффективным будет использование RDP сеансов за криптошлюзами и, таким образом, сокрытие их из публичного сетевого пространства», – комментирует проблему Роман Сычев, руководитель отдела сетевых технологий группы компаний Angara.
Из рекомендаций наши эксперты и эксперты Netscout предлагают следующие действия:
-
Так как атаке подвержен протокол UDP, то в качестве временной меры рекомендуется отключить данный сервис на видимых из сети интернет-ресурсах. А в дальнейшем – сокрытие RDP ресурсов за NGFW и VPN шлюзами.
-
Максимально возможно точный контроль в сетевых политиках с применением фильтрации до ip/порт, в том числе для исходящего из сети трафика. Этот шаг часто игнорируется в компаниях, так как считается, что негативное воздействие исходящего трафика минимально, но данный случай показывает, каким образом этот вариант атаки может навредить и вашим ресурсам.
-
Организация защиты от DDoS-атак для всех видимых из публичной сети сервисов. Часто в спектр защиты от DDoS включаются только публичные интернет-ресурсы, такие как Web. Но необходимо учитывать, что обслуживающая их публичная инфраструктура (DNS, NTP и другие сервисы) также не менее уязвима. Сам же тип защиты выбирается взвешенным решением исходя из оценки рисков.
Помочь с усилением защищенности сетевой архитектуры на системном уровне, тюнингом политик сетевой безопасности, планированием и реализацией архитектуры DDoS защиты могут наши эксперты. ГК Ангара имеет ряд услуг, направленных на решение этих вопросов. За консультацией о существующих услугах можно обратиться к менеджерам группы компаний Angara по e-mail info@angaratech.ru или телефону 8-495-269-26-06.
