Тази седмица данни от Центъра за мониторинг на DDoS на Alibaba Cloud Security показват, че тенденцията на DDoS атаки с Memcached се засилва бързо. Вчера Alibaba Cloud успешно наблюдава и се защити от отражение на Memcached DDoS атака с трафик до 758.6Gbps.
Следва пример за улавяне на пакети от Memcached reflective DDoS атака, която може бързо да се различи от характеристиките на UDP протокол + изходен порт 11211.
При тази атака нападателят фалшифицира IP адреса на жертвата, за да направи голям брой заявки към услугите на Memcached в интернет, които могат да бъдат експлоатирани, а Memcached отговаря на заявките. Голям брой отговорни пакети се събират към фалшивия IP източник (т.е. жертвата), за да се формира рефлексивна разпределена атака за отказ на услуга.
Проблемът е, че Memcached може да усилва пакети десетки хиляди пъти, тоест върнатият размер на пакета е десетки хиляди пъти по-голям от размера на заявката, а нападателите могат да стартират DDoS атаки с огромен трафик, използвайки много малка пропускателна способност. NTP и SSDP рефлексивните атаки обикновено могат да бъдат усилени само десетки до стотици пъти. Memcached амплификацията отразява DDoS атаки заради увеличението си, което може да бъде по-разрушително.
Атакуваща позиция
С популяризирането на DDoS атаки чрез Memcached, все повече DDoS опити за използване на Memcached за отражение се случват, а този тип DDoS атаки бързо нараства.
Напоследък хакери сканираха и събраха MemcachedIP, които могат да бъдат експлоатирани по целия свят, и се появиха голям брой предпазливи ултра-високотрафикни Memcached DDoS атаки.
Броят и вредата на точките за размисъл в интернет в момента
Целият интернет може да се използва за Memcached отражение на стотици хиляди IP адреси, предоставяйки на нападателите огромен арсенал.
С намаляването на трудността при стартиране на ултра-големи DDoS, IDC и облачните доставчици трябва да запазят повече мрежова пропускателна способност за защита, а ще бъде трудно за малките и средни IDC да се справят с такива ултра-големи DDoS атаки.
В момента Alibaba Cloud предоставя препоръки за конфигурация на сигурността в Memcached и предоставя насоки за ремонт на Anknight, за да помогне на потребителите в облака да отстранят рисковете от Memcached. Услугата за блокиране на отражението на UDP се предоставя в IP-адреса Anti-Pro.
(1) Какво е Memcached?
Memcached е високопроизводителна разпределена система за кеширане на обекти в паметта, използвана в динамични уеб приложения за разтоварване на бази данни. Той намалява броя на четените в база данни чрез кеширане на данни и обекти в паметта, подобрявайки скоростта на динамични, базирани на бази данни уебсайтове.
(2) Какъв е бизнес сценарият на Memcached?
Ако сайтът съдържа динамични страници с много трафик, натоварването върху базата данни ще бъде голямо. Тъй като повечето заявки за бази данни са операции за четене, повечето бизнес системи с висок брой четения използват Memcached за намаляване на четенията в базата, а внедряването на кешираща функция може значително да намали натоварването на базата данни и да подобри работата на уебсайта.
(3) Защо Memcached се използва за усилване на DDoS атаки?
- Тъй като Memcache (версия по-стара от 1.5.6) по подразбиране слуша UDP, той естествено удовлетворява условието за отражение на DDoS
- Много потребители слушат услугата на 0.0.0.0 без да конфигурират правилото iptables, което може да бъде заявено от всеки IP адрес изходен източник
- Memcached отразява десетки хиляди пъти повече от множеството, което е много благоприятно за DDoS атаки, които усилват множеството пакети в голям трафик
Експертите по сигурността на Alibaba Cloud имат две предложения как да се предотврати Memcached:
Първо, как да избегнем експлоатирането като рефлектор на Memcached:
Препоръчва се да се провери и затвърди работещата Memccached услуга, за да се предотврати ненужен трафик на пропускателна способност, причинен от хакери за стартиране на DDoS атаки.
Ако версията на Memcached е под 1.5.6 и не е нужно да слушате UDP. Можете да рестартирате Memcached, за да се присъедините към стартовия параметър -U 0, например Memcached -U 0, който забранява слушането на udp протокола
Още документация за засилване на сигурността на Memcached:
https://help.aliyun.com/knowledge_detail/37553.html
Ако сте закупили Alibaba Cloud Shield Anknight, можете да го поправите според указанията на конзолата Anknight.
Второ, как да се предпазим от отражения на DDoS атаки с Memcached
Препоръчва се да се оптимизира структурата на услугата и да се разпръсне услугата между няколко IP адреса.
Memcached прави относително лесно стартирането на DDoS атаки с голям трафик, а защитата срещу атаки с Memcached изисква достатъчна пропускателна способност. Ако се сблъскате с атака с голям трафик, можете да закупите услуга за почистване в облака и да препоръчате услуга за почистване в облака, която филтрира отраженията на UDP. Alibaba Cloud Anti-DDoS Pro пусна UDP блокиращи услуги.
|
Публикувано в 2.03.2018 г. 9:40:24 ч.
|
|
|
Публикувано в 2.03.2018 г. 10:05:56 ч.
|
