首先我们了解下,RDP攻击就是利用RDP协议登录到远程机器上,把该远程机器作为肉鸡,在上面种植木马,偷窃信息,发起DDOS攻击等行为。要实现将远程机器作为RDP肉鸡,必须知道远程机器的登录密码。所以常规方式是利用RDP协议来暴力破解远程机器的密码。
从上图来看,攻击IP来自世界各地,这里只发出了一小部分。暴力密码破解时使用的用户名统计对防火墙日志、IPS日志与主机日志进行时间性关联分析,发现RDP暴力破解时共尝试了1,062个用户名,下表列出了其中的一部
防御措施:
此次事件范围之广,数量之多,已经引起了各方广泛的重视,那么利用RDP协议暴力破解远程机器的防御措施有哪些?小蚁安全人员给出了如下建议:
在主机上停止不必要的“允许运程桌面连接”功能。
在防火墙上配置策略“阻止所有从外网连接内网的远程桌面协议端口(端口号3389)的请求”,对确有需要的RDP连接配置白名单。
对已经遭受攻击的机器修改密码,尤其是administrator/admin密码。
此次事件范围之广,数量之多,已经引起了各方广泛的重视,那么利用RDP协议暴力破解远程机器的防御措施有哪些?小蚁安全人员给出了如下建议:
在主机上停止不必要的“允许运程桌面连接”功能。
在防火墙上配置策略“阻止所有从外网连接内网的远程桌面协议端口(端口号3389)的请求”,对确有需要的RDP连接配置白名单。
对已经遭受攻击的机器修改密码,尤其是administrator/admin密码。
小蚁在此次事件中能够第一时间利用小蚁卫士NGIPS(入侵防御系统)产品帮助我们的用户发现问题,并及时有效的抵挡来防御事件的发酵。我们也将此次发现的攻击者IP加入小蚁情报库中,持续帮助更多的用户来阻止此类事件的发生。
小蚁高级安全顾问:18597845260 同V
(小蚁云安全)是一家致力于为企业提供网络安全服务商。公司花重金打造大禹抗D立体防御、小蚁游戏盾、高防IP、蚁骑士WAF、小蚁卫士入侵防御、高防CDN、棋牌抗D等产品。为企业提供专业的全方位信息化综合解决方案。客户群主要包括网络游戏、视频网站、电子商务平台、互联网门户、政府及企业网站、金融、区块链等,我们秉承"客户第一、诚信创新"的经营理念
小蚁网络为客户提供DDoS流量监控、WAF防护、漏洞扫描、入侵检测、网络安全态势感知、主机加固、等保整改建设等安全业务服务。接入简单、秒级生效。为政府、金融、高校、医疗、支付、游戏、直播等各行业客户保驾护航。 www.bgpddos.com 全国服务热线:400-901-5608
咨询
24小时技术QQ:1767559921
24小时技术电话:13221000030
