AS213438自治系统中RDP扫描激增:流量高峰与地理变化分析
GreyNoise监测发现,与荷兰ColocaTel Inc.公司相关的自治系统AS213438中的21个IP地址在全球RDP协议扫描流量中出现异常集中。2026年4月5日至7日,这些IP地址贡献了高达全球总量67.4%的扫描流量,表明存在集中化的互联网侦察活动。
扫描活动的规模与动态
2026年4月5日至7日期间,AS213438下的21个IP地址共发起了186万次RDP爬虫会话,占同期全球总流量的49.7%,并在4月7日达到67.4%的峰值。作为对比,其余3,644个来源合计产生的流量与此相当。
活动主要集中在四个/24网段,地理位置以阿姆斯特丹和莱利斯塔德为主。在AS213438内部,每日扫描流量在短时间内激增11倍——从18万次跃升至200万次,随后在4月8日下降99.9%,并于4月9日完全停止。类似模式曾在2026年3月出现过。
远程桌面协议(RDP)是Windows系统远程访问的常用方式,但长期被视为高风险攻击入口。扫描行为旨在识别开放端口,通常伴随暴力破解密码尝试。此类高度集中的活动显著增加了面向公网的企业网络遭受攻击的风险。
威胁来源的地理格局变化
2026年4月初,荷兰一度超越其他国家,成为全球RDP扫描的主要来源地。其占比从7.17%飙升至53.86%,而罗马尼亚则从29.89%降至15.78%。尽管罗马尼亚的扫描量保持稳定,但由于荷兰基础设施的急剧增长,整体格局发生明显偏移。
- 主要活跃网段:AS213438内的四个/24网络
- 峰值贡献:最高占据RDP爬虫流量的85%,若计入其他RDP相关标签可达88%
- 历史对比:与2026年3月的“爆发-沉寂”周期高度相似
- 全球背景:21个IP地址 vs 超过3,644个其他来源
这一变化凸显了扫描基础设施的高度流动性,以及欧洲数据中心作为自动化网络攻击枢纽的重要角色。
网络安全影响与潜在动因
此类流量激增反映出攻击者正利用云资源进行大规模网络探测。注册于荷兰的ColocaTel Inc.提供可扩展的托管服务,此次突发性流量增长暗示背后可能存在有组织的侦察行动,目的可能是绘制易受攻击的RDP服务器地图,为后续入侵做准备。
对网络安全的影响包括:防火墙和IDS/IPS系统面临更大压力,虽然能检测到异常行为,但攻击源的高度集中反而使防御方更容易实施封禁。对企业而言,这是一次明确警示——必须审查暴露在外的RDP端口,并尽快迁移到VPN或零信任架构。
从长远看,这类模式推动了威胁形态的演进:从初步侦察逐步发展为定向勒索软件攻击。根据MITRE ATT&CK框架,RDP仍是十大主要攻击向量之一。全球每年RDP扫描量达数十亿次,目标多集中在未启用多因素认证(MFA)的旧版Windows系统上。
核心要点总结
- AS213438中仅21个IP地址就贡献了67.4%的流量,改变了分布式威胁的传统格局
- 反复出现的“爆发-归零”模式表明这是未来攻击的前期准备
- 荷兰成为主导来源地,凸显地理封锁策略的重要性
- 85%-88%的活动专属于RDP协议,加剧基于Windows系统的网络安全风险
- 建议:关闭公共RDP访问,强制启用多因素认证
— Editorial Team
暂无评论。