الرئيسية / أمن المعلومات / يقوم DDoSers بإساءة إستخدام Microsoft RDP لجعل الهجمات أكثر قوة

يقوم DDoSers بإساءة إستخدام Microsoft RDP لجعل الهجمات أكثر قوة


قالت شركة Windows ، لقد أساءت هجمات تضخيم DDoS إستخدام جميع أنواع الخدمات المشروعة.

قالت شركة أمنية هذا الأسبوع إن خدمات DDoS للتأجير تسيء إستخدام بروتوكول سطح المكتب البعيد من Microsoft لزيادة القوة النارية لهجمات رفض الخدمة الموزعة التي تشل مواقع الويب والخدمات الأخرى عبر الإنترنت.

يعد بروتوكول سطح المكتب البعيد ، الذي يختصر عادةً باسم RDP ، بمثابة الأساس لميزة Microsoft Windows التي تسمح لجهاز واحد بتسجيل الدخول إلى جهاز آخر عبر الإنترنت. يتم إستخدام RDP في الغالب من قبل الشركات لتوفير تكلفة أو متاعب الإضطرار إلى التواجد فعلياً عند الوصول إلى جهاز كمبيوتر.

كما هو معتاد في العديد من الأنظمة المصدق عليها ، يستجيب RDP لطلبات تسجيل الدخول بتسلسل أطول بكثير من البتات التي تنشئ إتصالاً بين الطرفين. قالت شركة الأمن Netscout إن ما يسمى بخدمات booter / Stresser ، والتي مقابل رسوم ستقصف عناوين الإنترنت بما يكفي من البيانات لجعلها في وضع عدم الإتصال ، قد تبنت مؤخراً RDP كوسيلة لتضخيم هجماتها .

يسمح التضخيم للمهاجمين ذوي الموارد المتواضعة فقط بتقوية حجم البيانات التي يوجهونها إلى الأهداف. تعمل التقنية عن طريق إرتداد كمية صغيرة نسبياً من البيانات في خدمة التضخيم ، والتي بدورها تعكس كمية أكبر بكثير من البيانات في الهدف النهائي. مع عامل تضخيم يبلغ 85.9 إلى 1 ، فإن 10 غيغابايت في الثانية من الطلبات الموجهة إلى خادم RDP ستوفر تقريباً 860 جيجابت في الثانية إلى الهدف.

كتب باحثو Netscout:

"تتراوح أحجام الهجوم المرصودة من 20 جيجابت في الثانية إلى 750 جيجابت في الثانية". "كما هو الحال بشكل روتيني مع موجهات هجوم DDoS الأحدث ، يبدو أنه بعد فترة أولية من التوظيف من قبل المهاجمين المتقدمين الذين لديهم إمكانية الوصول إلى البنية التحتية لهجوم DDoS ، تم تسليح انعكاس RDP / التضخيم وإضافته إلى ترسانات ما يسمى booter / ضغوط DDoS-for-rent ، مما يجعلها في متناول عامة المهاجمين ".

قراءة متعمقة:

تعود هجمات تضخيم DDoS إلى عقود ماضية. نظراً لأن مستخدمي الإنترنت الشرعيين يحظرون بشكل جماعي ناقل واحد ، يجد المهاجمون متجهين جدد ليحلوا محلهم. تضمنت مضخمات DDoS محللات DNS المفتوحة ، وبروتوكول WS-Discovery الذي تستخدمه أجهزة إنترنت الأشياء ، وبروتوكول وقت شبكة الإنترنت . أحد أقوى نواقل التضخيم في الذاكرة الحديثة هو ما يسمى ببروتوكول memcached الذي يحتوي على عامل من 51000 إلى 1.
تعمل هجمات تضخيم باستخدام حزم شبكة UDP ، والتي يمكن إنتحالها بسهولة على العديد من الشبكات. يرسل المهاجم طلباً إلى المتجه ويخدع الرؤوس لإعطاء المظهر أن الطلب جاء من الهدف. ثم يرسل متجه التضخيم الإستجابة إلى الهدف الذي يظهر عنوانه في الحزم المخادعة.

قال نتسكوت إن هناك حوالي 33000 خادم RDP على الإنترنت يمكن إساءة إستخدامها في هجمات التضخيم. إلى جانب استخدام حزم UDP ، يمكن أن يعتمد RDP أيضاً على حزم TCP.

أوصت Netscout بعدم إمكانية الوصول إلى خوادم RDP إلا عبر خدمات الشبكة الخاصة الإفتراضية. في حالة عدم إمكانية نقل خوادم RDP التي توفر الوصول عن بعد عبر UDP مباشرةً خلف مركزات VPN ، يجب على المسؤولين تعطيل RDP عبر UDP كإجراء مؤقت.

يمكن أن يشكل RDP غير الآمن خطراً على المنظمات التي تعرضهم للإنترنت:

أوضح Netscout أن "التأثير الجانبي لهجمات انعكاس / تضخيم RDP يحتمل أن يكون مرتفعاً جداً بالنسبة للمؤسسات التي يتم إساءة إستخدام خوادم Windows RDP الخاصة بها كعاكسات / مكبرات صوت". "وقد يشمل ذلك الإنقطاع الجزئي أو الكامل لخدمات الوصول عن بعد ذات المهام الحرجة ، بالإضافة إلى إنقطاع الخدمة الإضافي بسبب إستهلاك سعة النقل ، واستنفاد جدول الحالة للجدران النارية ذات الحالة ، وموازين التحميل ، وما إلى ذلك..."

DZ-Djamel-GSM

عن DZ-Djamel-GSM


مهتم بنشر الوعي التقني,كاتب مغرم بالمعلومة.

شاركنا رأيك حول : يقوم DDoSers بإساءة إستخدام Microsoft RDP لجعل الهجمات أكثر قوة

شاهد أيضاً

أمن المعلومات: أصيبت شركة الأمن Malwarebytes بنفس المتسللين الذين ضربوا SolarWinds