Microsoft RDPEUDP es una extensión para permitir el transporte UDP para el servicio de protocolo de escritorio remoto (RDP) de Microsoft, que de forma predeterminada usa el puerto TCP 3389.
Los servicios RDPEUDP expuestos se pueden usar como reflectores en ataques de amplificación DDoS. La respuesta al paquete de solicitud inicial se amplifica ~28 veces y el protocolo envía esa respuesta 3 veces. A partir de enero de 2021, se descubrió que se abusa de este servicio en los ataques de red en curso.
Este reporte no indica indicios de compromiso o ataques desde las IPs en cuestión, sino sólo representa la presencia de un equipo o servicio potencialmente vulnerable y/o expuesto.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_rdpeudp
CAMPOS
| timestamp | Hora en que se sondeó la IP en UTC+0 |
| ip | La dirección IP del dispositivo en cuestión. |
| protocol | Protocolo en el que se produjo la respuesta RDP (siempre UDP) |
| port | Puerto del que provino la respuesta RDP (generalmente 3389) |
| hostname | Nombre DNS inverso del dispositivo en cuestión (si está disponible) |
| tag | siempre establecido en rdpeudp |
| asn | ASN de donde reside el dispositivo en cuestión |
| geo | País donde reside el dispositivo en cuestión |
| region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
| city | Ciudad en la que reside el dispositivo en cuestión |
| naics | Código del sistema de clasificación de la industria de América del Norte |
| sic | Código del sistema de clasificación industrial estándar |
| sessionid | El ID de sesión de 4 bytes que se incluye en la transacción |
| response_size | Tamaño de respuesta en bytes |
| amplification | Factor de amplificación (Esta amplificación se basa únicamente en el tamaño de la carga útil enviada y el tamaño de la carga útil recibida) |
EJEMPLO
"timestamp","ip","protocol","port","hostname","tag","asn","geo","region","city","naics","sic","sessionid","response_size","amplification"
"2010-02-10 00:00:00",192.168.0.1,udp,3389,node01.example.com,rdpeudp,64512,ZZ,Region,City,0,0,052d97ac,1232,77.00
"2010-02-10 00:00:01",192.168.0.2,udp,3389,node02.example.com,rdpeudp,64512,ZZ,Region,City,0,0,05c1afa0,1232,77.00
"2010-02-10 00:00:02",192.168.0.3,udp,3389,node03.example.com,rdpeudp,64512,ZZ,Region,City,0,0,0595b068,1232,77.00