温故：

        今天打算和大家聊聊网络中的另一个小知识点：“rdp爆破”。在讲新的知识点之前我还是要和大家再温习一下上一篇文章《Oracle小知识点之temp表空间》,temp临时表空间用来管理数据库排序操作以及用于存储临时表、中间排序结果等临时对象的一个空间。当ORACLE里需要用到SORT（排序）的时候，并且当PGA中sort_area_size大小不够时，将会把数据放入临时表空间里进行排序。像数据库中一些操作： CREATE INDEX、SELECT DISTINCT、ORDER BY、GROUP BY等都可能会用到临时表空间。当操作完成后，系统会自动清理临时表空间中临时对象，自动释放临时段。这里的释放只是标记为空闲、可以重用，其实实质占用的磁盘空间并没有真正释放。这也是临时表空间有时会不断增大的原因。

关于temp临时表空间的文章链接如下：Oracle小知识点之temp表空间

知新：

        今天咱们学一个新的小知识点：“rdp爆破”，3389是一个远程桌面的端口，很多人为了更方便管理服务器，更新服务器上的资源等，经常会开启3389端口，用netstat -an命令可以查看该端口的开启。对于一个账户如果账号密码过于弱很容易被爆破到，一般默认账号为Administrator，极少会是admin，而对于过于简单的密码，在3389密码字典中均可找到。RDP(Remote Desktop Protocol)称为“远程桌面登录协议”，即当某台计算机开启了远程桌面连接功能后（在windows系统中这个功能是默认打开的），我们就可以在网络的另一端控制这台机器了。通过远程桌面功能，我们可以实时地操作这台计算机，在上面安装软件，运行程序，所有的一切都好像是直接在该计算机上操作一样。

        RDP攻击就是利用RDP功能登录到远程机器上，把该远程机器作为“肉鸡”，在上面种植木马、偷窃信息、发起DDOS攻击等行为。要实现将远程机器作为RDP肉鸡，必须知道远程机器的登录密码。所以常规方式是利用RDP协议来暴力破解远程机器的密码。

防御措施

那么暴力破解远程机器防御措施有哪些？瀚思安全人员给出了如下建议：

• 在主机上停止不必要的“允许运程桌面连接”功能；
• 在防火墙上配置策略“阻止所有从外网连接内网的远程桌面协议端口3（端口号3389）的请求”，对确有需要的RDP连接配置白名单；
• 对已经遭受攻击的机器修改密码，尤其是administrator/admin密码。

                                                        拓展：案例

        最近卡巴斯基实验室报告的“地下市场兜售RDP肉鸡的事件为例，在此次事件中我们发现一中招服务器即肉鸡高达7万+台，波及173个国家，仅中国就有5000+台，占此次事件中的第二位。

尽管类似事件并不少见，然而波及面之广却让人震撼，因而此次事件也被整个业界关注。

此次事件一经爆发，即有用户利用瀚思系统发现了端倪，本案例中涉及到国内某公安及某信息中心。