RDP(Remote Desktop Protocol)稱為“長途桌面登錄協議”，即當某臺計較機開啟了長途桌面毗連成果后（在windows系統中這個成果是默認打開的），我們就可以在網絡的另一端節制這臺呆板了。通過長途桌面成果，我們可以及時地操縱這臺計較機，在上面安裝軟件，運行措施，所有的一切都仿佛是直接在該計較機上操縱一樣。

RDP進攻就是操作RDP成果登錄到長途呆板上，把該長途呆板作為“肉雞”，在上面種植木馬、盜竊信息、提倡DDOS進攻等行為。要實現將長途呆板作為RDP肉雞，必需知道長途呆板的登錄暗碼。所以通例方法是操作RDP協議來暴力破解長途呆板的暗碼。

究其危害，我們以最近卡巴斯基嘗試室陳訴的“地下市場兜銷RDP肉雞的事件為例，在此次事件中我們發明中招處事器即肉雞高達7萬+臺，波及173個國度，僅中國就有5000+臺，占此次事件中的第二位。

盡量雷同事件并不少見，然而波及面之廣卻讓人震撼，因而此次事件也被整個業界存眷。

此次事件一經發作，即有用戶操作瀚思系統發明白眉目，本案例中涉及到海內某公安及某信息中心。

瀚思對Internet網的呆板暴力破解相關企業呆板的闡明

瀚思系統收羅了客戶情況中的安詳設備日志，在本案例中主要是防火墻日志、IPS日志和主機日志。

在進攻輿圖（熱力求）上，顯示了從外網對內網的長途桌面進攻：

瀚思系統對收羅到的日志舉辦關聯闡明，操作瀚思的可視化云圖很容易地發明從外網對內網的大量長途桌面毗連請求。

1、進攻的時間和空間漫衍圖

在以上云圖中，我們可以發明有很多Internet的呆板在會見某信息中心的呆板的RDP端口（端標語是3389），總計約99萬次。涉及進攻者的IP共1045個。

對IP的地理位置舉辦統計，海內IP是576個，占比55%，境外IP是469個，占比45%。對進攻次數舉辦統計，海內IP發生的進攻數占比86%，海外IP發生的進攻數占比14%。

對境外的進攻次數按國度舉辦較量：

同樣對付某公安的數據顯示在5/17~6/16內蒙受48484次RDP進攻，涉及的IP共211個。個中來歷于境外的進攻次數最多的國度也是韓國和美國。

2、瀚思的威脅情報在發明進攻的浸染

對付進攻某信息中心所涉及的1045個IP地點，瀚思的威脅情報顯示有428個在黑名單中，占比41%。

對付進攻某公安所涉及的211個IP地點，瀚思的威脅情報顯示有123在黑名單中，占比58%。

個中有42個進攻者IP在兩次進攻中同時呈現，瀚思的威脅情報顯示有31在黑名單中，占比74%。

3、在暴力暗碼破解時利用的用戶名統計

操作防火墻日志/IPS和日志與主機日志舉辦關聯闡明，通過在長途暗碼暴力破解時常用的用戶名漫衍環境我們發明一共有1062個用戶名被利用來舉辦暴力破解。

image010

1、 Administrator/admin這兩個賬號占了72%

2、 包羅了一些通用用戶名，好比guest，owner，test，user等

3、 包羅了很多海外常用的用戶名，好比rob，dennis，bill，michelle等

4、 包羅了一些繁體中文名，好比經紀，，打點員，行政官員等。

下表是個中的一些摘要：

4、防止法子

此次事件范疇之廣，數量之多，已經引起了各方遍及的重視，那么暴力破解長途呆板防止法子有哪些？瀚思安詳人員給出了如下發起：

在主機上遏制不須要的“答允運程桌面毗連”成果。 在防火墻上設置計策“阻止所有從外網毗連內網的長途桌面協議端口3（端標語3389）的請求”，對確有需要的RDP毗連設置白名單。 對已經蒙受進攻的呆板修改暗碼，尤其是administrator/admin暗碼。