Tento týden data z Alibaba Cloud Security DDoS Monitoring Center ukazují, že trend DDoS útoků využívajících Memcached rychle stupňuje. Včera Alibaba Cloud úspěšně monitorovala a bránila se proti Memcached DDoS odrazovému útoku s provozem až 758,6Gbps.
Následuje vzorek zachycení paketů Memcached reflexivního DDoS útoku, který lze rychle odlišit od charakteristik UDP protokolu + zdrojového portu 11211.
Při tomto útoku útočník zfalšuje IP oběti, aby mohl vykonat velké množství požadavků na služby Memcached na internetu, které lze zneužít, a Memcached na tyto požadavky reaguje. Velké množství odpovědních paketů je konvergováno ke zdroji falešné IP adresy (tj. oběti) a vytváří tak reflexivní distribuovaný útok typu denial-of-service.
Obava spočívá v tom, že Memcached může zesílit pakety desítky tisíckrát, tedy že velikost vráceného paketu je desetitisíckrát větší než velikost požadavku, a útočníci mohou spustit DDoS útoky s obrovským provozem s velmi malou šířkou pásma. NTP a SSDP reflexní útoky lze obecně zesílit jen desítky až stovkykrát. Memcached amplifikace odráží DDoS útoky díky svému zvětšení, které může být destruktivnější.
Útočná pozice
S propagací technik DDoS útoků využívajících Memcached se stále více DDoS pokusů o použití Memcached pro odraz objevuje a tento typ DDoS útoků rychle roste.
Nedávno hackeři prohledali a shromáždili MemcachedIP, které lze zneužít po celém světě, a objevilo se velké množství předběžných DDoS útoků s ultra-vysokou prostředností v Memcache.
Počet a škodlivost reflexních bodů na internetu v současnosti
Celý internet lze využít pro memcachované odrazy stovek tisíc IP adres, což útočníkům poskytuje obrovský arzenál.
Jak obtížnost zahájení ultra-velkých DDoS útoků klesá, IDC a poskytovatelé cloudových služeb musí vyhradit více šířky pásma pro obranu a bude obtížné pro malé a střední IDC zvládnout takové ultra-rozsáhlé DDoS útoky.
V současnosti Alibaba Cloud poskytuje doporučení pro konfiguraci bezpečnosti v Memcached a poskytuje pokyny k opravám Anknight, aby uživatelům cloudu pomohla odstranit rizika uložená v Memcache. Služba blokování odrazů UDP je poskytována v Anti-Pro IP.
(1) Co je to Memcached?
Memcached je vysoce výkonný distribuovaný systém pro cachování objektů v paměti, používaný v dynamických webových aplikacích k odlehčování databází. Snižuje počet čtení databáze tím, že do paměti ukládá data a objekty do mezipaměti, čímž zlepšuje rychlost dynamických databází řízených webových stránek.
(2) Jaký je obchodní scénář Memcached?
Pokud web obsahuje dynamické stránky s velkým provozem, zatížení databáze bude vysoké. Protože většina databázových požadavků jsou čtecí operace, většina podnikových systémů s vysokým počtem čtení používá Memcached ke snížení počtu čtení databáze a implementace funkce cache může výrazně snížit zatížení databáze a zlepšit výkon webu.
(3) Proč se Memcached používá k zesílení DDoS útoků?
- Protože Memcache (verze starší než 1.5.6) poslouchá UDP ve výchozím nastavení, přirozeně splňuje podmínku reflexního DDoS
- Mnoho uživatelů poslouchá službu ve verzi 0.0.0.0 bez nutnosti konfigurovat pravidlo iptables, které lze požadovat z libovolné zdrojové IP adresy
- Memcached odráží desítky tisíc násobek, což je velmi příznivé pro DDoS útoky, které zesilují násobek paketů do velkého provozu
Odborníci na bezpečnost Alibaba Cloud mají dva návrhy, jak zabránit Memcached:
Za prvé, jak se vyhnout zneužití jako Memcached reflector:
Doporučuje se zkontrolovat a zpevnit běžící službu Memccache, aby se zabránilo zbytečnému provozu způsobenému hackery při DDoS útokech.
Pokud je vaše Memcached verze horší než 1.5.6 a nemusíte poslouchat UDP. Memcached můžete restartovat a připojit se k startovacímu parametru -U 0, např. Memcached -U 0, který zakazuje poslouchání na protokolu udp
Další dokumentace k zabezpečení bezpečnosti Memcached Service Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Pokud jste si koupili Alibaba Cloud Shield Anknight, můžete to opravit podle návodu na konzoli Anknight.
Za druhé, jak se chránit proti Memcached DDoS odrazovým útokům
Doporučuje se optimalizovat strukturu služeb a rozdělit službu mezi více IP adres.
Memcached umožňuje relativně snadné spustit DDoS útoky s vysokou zátěží a obrana proti Memcached útokům vyžaduje dostatečnou šířku pásma. Pokud narazíte na útok s odrazem s vysokou návštěvností, můžete si zakoupit cloudovou službu čištění a doporučit cloudovou čistící službu, která filtruje odrazy UDP. Alibaba Cloud Anti-DDoS Pro spustila služby blokování UDP.
|
Zveřejněno 02.03.2018 9:40:24
|
|
|
Zveřejněno 02.03.2018 10:05:56
|
