¿Ataque de fuerza bruta RDP fallido desde la dirección IP de Microsoft?

Como señala SteveS a continuación, es posible que este sea un servidor de Azure que se comporte mal. Azure es una plataforma de servidor en la nube que Microsoft ejecuta. Esto también significaría que realmente debería comunicarse con los dos correos electrónicos en el registro de búsqueda inversa. Microsoft querría saber si se está abusando de Azure o uno de los otros problemas que mencioné originalmente.

Lo único que viene a la mente es que si el paquete que se envía a RDP es significativamente más corto que el paquete con el que responde el servidor RDP, es posible que se trate de un ataque de DOS al estilo de ping de la muerte contra Microsoft. . Básicamente, el principal es que el atacante realiza una pequeña solicitud falsificada a un servidor para que el servidor responda al objetivo con una cantidad de información mucho mayor. El ping de la muerte original estaba configurando dos servidores para que interpretaran constantemente la respuesta como una solicitud y respondieran, lo que generó un bucle infinito que provocaría la caída de uno o ambos servidores víctimas. Es probable que no haya una condición de bucle aquí, pero es al menos una posibilidad.

Eso o Microsoft realmente tiene un sistema comprometido en su red y se está utilizando como un bot, lo que también es completamente posible.

No tengo conocimiento de ninguna razón general y legítima por la que Microsoft esté intentando conectarse a su RDP. Recomiendo contactar las direcciones de abuso o iprrms y ver lo que dicen.

A veces, las herramientas de whois no te dicen la información real de las direcciones IP. La mayoría de los servidores de Windows sufre ataques de fuerza bruta RDP. Uno de mis servidores recibe aproximadamente 10 ataques RDP cada día, incluso si es solo un servidor de prueba y no hay aplicaciones que se ejecuten en ese servidor. En su lugar, uso guardian de anti ddos , que detiene los ataques de RDP y ralentiza los ataques de ddos http.