I denne uge viser data fra Alibaba Cloud Security DDoS Monitoring Center, at tendensen med DDoS-angreb med Memcached hurtigt stiger. I går overvågede og forsvarede Alibaba Cloud sig med succes mod et Memcached DDoS-refleksionsangreb med en trafik på op til 758,6 Gbps.
Følgende er et pakkefangsteksempel af et Memcached reflekterende DDoS-angreb, som hurtigt kan skelnes fra karakteristikaene for UDP-protokol + kildeport 11211.
I dette angreb forfalsker angriberen offerets IP for at lave et stort antal anmodninger til Memcacheds tjenester på internettet, som kan udnyttes, og Memcached svarer på anmodningerne. Et stort antal svarpakker konvergeres mod den forfalskede IP-adressekilde (dvs. offeret) for at danne et reflekterende distribueret denial-of-service-angreb.
Bekymringen er, at Memcached kan forstærke pakker titusindvis af gange, det vil sige, at den returnerede pakkestørrelse er titusindvis af gange størrelsen på forespørgslen, og angribere kan iværksætte DDoS-angreb med enorm trafik ved brug af meget lidt båndbredde. NTP- og SSDP-refleksionsangreb kan generelt kun forstærkes med titusinder til hundreder af gange. Memcache-forstærkning afspejler DDoS-angreb på grund af dens forstørrelse, som kan være mere ødelæggende.
Angrebsstilling
Med offentliggørelsen af DDoS-angrebsteknikker med Memcached, sker der flere og flere DDoS-forsøg på at bruge Memcached til refleksion, og denne type DDoS-angreb er hurtigt stigende.
For nylig har hackere scannet og indsamlet MemcachedIP, som kan udnyttes over hele verden, og et stort antal foreløbige ultra-højtrafikerede Memcached DDoS-angreb er dukket op.
Antallet og skaden af refleksionspunkter på internettet i øjeblikket
Hele internettet kan bruges til Memcache-afspejling af hundredtusindvis af IP'er, hvilket giver angribere et enormt arsenal.
Efterhånden som vanskelighederne ved at igangsætte ultra-store DDoS falder, skal IDC'er og cloud-udbydere reservere mere netværksbåndbredde til forsvar, og det vil være vanskeligt for små og mellemstore IDC'er at håndtere sådanne ultra-store DDoS-angreb.
I øjeblikket tilbyder Alibaba Cloud anbefalinger til Memcached-sikkerhedskonfiguration og reparationsvejledning på Anknight for at hjælpe cloud-brugere med at løse Memcached-risici. UDP-refleksionsblokeringstjenesten leveres i Anti-Pro IP.
(1) Hvad er Memcached?
Memcached er et højtydende distribueret objektcaching-system i hukommelsen, der bruges i dynamiske webapplikationer til at aflaste databaser. Den reducerer antallet af databaselæsninger ved at cache data og objekter i hukommelsen, hvilket forbedrer hastigheden på dynamiske, databasedrevne hjemmesider.
(2) Hvad er forretningsscenariet med Memcached?
Hvis hjemmesiden indeholder dynamiske sider med meget trafik, vil belastningen på databasen være høj. Da de fleste databaseanmodninger er læseoperationer, bruger de fleste forretningssystemer med høje læsninger Memcached for at reducere databaselæsninger, og implementeringen af caching-funktionen kan markant reducere databasebelastningen og forbedre webstedets ydeevne.
(3) Hvorfor bruges Memcached til at forstærke DDoS-angreb?
- Da Memcache (version tidligere end 1.5.6) som standard lytter til UDP, opfylder den naturligt reflektionsbetingelsen DDoS
- Mange brugere lytter til tjenesten på 0.0.0.0 uden at konfigurere iptables-reglen, som kan anmodes om af enhver kilde-IP-adresse
- Memcached afspejler titusindvis af gange multipla, hvilket er meget befordrende for DDoS-angreb, der forstærker multipla af pakker til stor trafik
Alibaba Cloud-sikkerhedseksperter har to forslag til, hvordan man kan forhindre Memcached:
Først, hvordan man undgår at blive udnyttet som en Memcache-reflektor:
Det anbefales at tjekke og styrke den kørende Memccached-tjeneste for at forhindre unødvendig båndbreddetrafik forårsaget af hackere, der iværksætter DDoS-angreb.
Hvis din Memcached-version er lavere end 1.5.6, og du ikke behøver at lytte til UDP. Du kan genstarte Memcached for at tilslutte dig -U 0 opstartsparameteren, f.eks. Memcached -U 0, som forhindrer lytning på udp-protokollen
Mere dokumentation om Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Hvis du har købt Alibaba Cloud Shield Anknight, kan du rette det i henhold til vejledningen på Anknight-konsollen.
For det andet, hvordan man beskytter mod Memcachede DDoS-refleksionsangreb
Det anbefales at optimere servicestrukturen og sprede tjenesten over flere IP'er.
Memcached gør det relativt nemt at iværksætte DDoS-angreb med høj trafik, og forsvar mod Memcached-angreb kræver tilstrækkelig båndbredde. Hvis du oplever et refleksionsangreb med høj trafik, kan du købe en cloud-rensningstjeneste og anbefale en cloud-rensningstjeneste, der filtrerer UDP-refleksioner. Alibaba Cloud Anti-DDoS Pro har lanceret UDP-blokeringstjenester.
|
Opslået på 02/03/2018 09.40.24
|
|
|
Opslået på 02/03/2018 10.05.56
|
