Come possono essere identificate le connessioni RDP sulla rete se non utilizzano più il protocollo TCP 3389 e invece utilizzano una porta non standard?
Se l'amministratore di un sistema ha cambiato la porta per le connessioni remote da 3389 a qualcos'altro e non ha aggiornato la stessa in IDS o firewall, allora come può qualcuno rilevare le connessioni remote attive a livello di rete?
L'unico modo per identificare le connessioni remote "canaglia" che si trovano all'interno della rete (e perché il tuo caso d'uso elimina usando il numero di porta come identificatore) è attraverso l'ispezione approfondita dei pacchetti sulla rete.
Se si desidera conoscere la connessione in uscita da una macchina specifica e si ha accesso all'utente root di detta macchina. Puoi chiedere allo stack di rete quali connessioni ha ('' s '' s 'su Ubuntu ma tutti i sistemi hanno un modo) Questo elencherà tutte le connessioni del sistema. (Comprese le prese)
Il seguente link di Wireshark fornisce una grande panoramica di cosa cercare e può essere usato per creare una regola per il proprio ambiente.
Se stai eseguendo snort (o IPS / IDS simili), esistono firme per le connessioni desktop remote. Quindi potrebbero essere modificati per monitorare altre porte e una ricerca rapida mostra regole specifiche per identificare lo scenario che stai cercando di indirizzare.
Le connessioni RDP utilizzano spesso certificati autofirmati o quelli emessi dall'infrastruttura PKI interna di Active Directory. Ciò è utile se si dispone di funzionalità per il monitoraggio / avviso sui certificati che attraversano la rete.
Leggi altre domande sui tag remote-desktop rdp detection