RDP DDoS

RDP — Remote Desktop Protocol (Удаленный Рабочий Стол)
DDoS — Distributed Denial of Service (Распределённый отказ от обслуживания)

Прошло несколько месяцев, с момента написания предыдущей части об RDP. За это время, выловлено и посажено на цепь более 5000 злобных IP адресов, с которых пытались подобрать пароли к RDP терминалу.

Но как оказалось — этого не достаточно.

Потому, что если кто-то поставит себе цель доставить Вам неприятности (хотя — это по всей видимости надо еще заслужить), то есть еще весьма эффективный способ на основе RDP.

Дело было так: Однажды, я заметил, что в консоле Terminal Services Management появилась активность. Одна — за одной, с высокой частотой открывались сессии соединения и закрывались. Так обычно и происходит многократно в течении каждого дня. Вообщем, ничего необычного. И я был уверен, что вот — вот сейчас мои тщательно отлаженные скрипты справятся с этой ситуацией, автоматически занесут IP адрес мерзавца в IPSEC и сгенерируют отчет для публикации в Дайджесте.
Но ничего этого на этот раз не произошло. Скрипты отработали, и пытались убедить меня, что все тихо и спокойно, что нас никто не атакует.

Фак! Не может такого быть. Все проверено сотню раз и сотни раз исправно отрабатывалось полностью в автоматическом режиме. И вот я уже вижу, что ресурсы сервера начинают понемногу пожираться. А в консоле Terminal Services Management — уже просто праздник какой-то.

Ну что-же, значит где-то ошибка в скриптах. Тяжело вздохнув открываю оснастку «Events» и не верю своим глазам — там нет ни одного события за последние пол-часа. То есть, скрипты не врут.  Мониторинг событий Windows не знает об этом! А между тем, меня имеют так, что уже Web-Server начинает заметно тормозить.

Других идей в тот момент не оказалось. Признаюсь, у меня была паника. Я решил, что сервер взломан, что надо обновляться, чистить систему, искать заразу и т.д.
Я отправил Сервер на перезагрузку.

Это было глупо с моей стороны. Но все прекратилось. И мне пришлось ждать еще целый месяц повторения ситуации, чтобы понять, что же происходит.

Они пришли снова. Наглые и уверенные в себе. И все повторилось. Зверская активность и ни одного события в оснастке. Но на этот раз в голове была только одна мысль: «Только не уходите!».

И вот что удалось понять:

Если инициировать соединение с удаленным сервером по протоколу RDP (Подключение к удаленному рабочему столу), но не входить, т.е. не вводить в поля логин и пароль и не нажимать на OK, то Событие — фактически не происходит и факт об этом в логах не документируется.
А если инициировать эти соединения с жертвой сотни раз в минуту в параллельных процессах и к тому же не закрывая  открытые коннекты, то будет весело.

Ну умные люди в свитерах и с бородами конечно же ухмыльнутся, они — то в курсе. Но что делать нам — девочкам?
Как поймать то, чего не видно? Нет, ну глазами, то конечно увидеть можно, но только в режиме уткнувшись в монитор, дождавшись — когда это начнется, и тогда определить IP адрес в списке NetStat.
Очень хотелось бы, чтобы были нормальные инструменты для мониторинга подобных проблем. А их нет в арсенале Windows.

Пришлось изобретать самому…

В ежедневном Дайджесте, этот блок называется DDoS RDP (хотя, случается это довольно таки редко).
Накопительные списки доступны для загрузке на странице Download


Читайте третью часть об RDP: RDP — «Долговременная Распределенная Атака Супер — Короткими Уникальными Сеансами»




  • 

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *