|
|
Veröffentlicht am 02.03.2018 09:40:24
|
|
|
Diese Woche zeigen Daten des Alibaba Cloud Security DDoS Monitoring Center, dass der Trend bei DDoS-Angriffen mit Memcached rapide zunimmt. Gestern überwachte und verteidigte Alibaba Cloud erfolgreich einen Memcached-DDoS-Reflexionsangriff mit einem Datenverkehr von bis zu 758,6 Gbit/s.
Im Folgenden eine Paketerfassungsprobe eines Memcached-reflektierenden DDoS-Angriffs, der sich schnell von den Eigenschaften des UDP-Protokolls + Quellport 11211 unterscheiden lässt.
Bei diesem Angriff fälscht der Angreifer die IP des Opfers, um eine große Anzahl von Anfragen an Memcached-Dienste im Internet zu stellen, die ausgenutzt werden können, und Memcached antwortet auf diese Anfragen. Eine große Anzahl von Antwortpaketen konvergiert zur gefälschten IP-Adresse (d. h. dem Opfer), um einen reflektierenden, verteilten Denial-of-Service-Angriff zu bilden.
Die Sorge ist, dass Memcached Pakete zehntausendfach verstärken kann, das heißt, die zurückgesendete Paketgröße ist zehntausendfach so groß wie die Anfrage, und Angreifer DDoS-Angriffe mit riesigem Datenverkehr und sehr wenig Bandbreite starten können. NTP- und SSDP-Reflexionsangriffe können in der Regel nur um Dutzende bis Hunderte verstärkt werden. Die Memcached-Verstärkung spiegelt DDoS-Angriffe wider, da sie durch ihre Vergrößerung zerstörerischer sein kann.
Angriffshaltung
Mit der Verbreitung von DDoS-Angriffstechniken mit Memcached gibt es immer mehr DDoS-Versuche, Memcached zur Reflexion zu nutzen, und diese Art von DDoS-Angriffen nimmt rapide zu.
Kürzlich haben Hacker MemcachedIP gescannt und gesammelt, die weltweit ausgenutzt werden können, und es sind zahlreiche vorläufige, ultra-frequentierte Memcached-DDoS-Angriffe aufgetaucht.
Die Anzahl und der Schaden von Reflexionspunkten im Internet derzeit
Das gesamte Internet kann für die Memcache-Reflexion von Hunderttausenden von IPs genutzt werden, was Angreifern ein riesiges Arsenal bietet.
Da die Schwierigkeit, ultragroße DDoS zu starten, abnimmt, müssen IDCs und Cloud-Service-Anbieter mehr Netzwerkbandbreite für die Verteidigung reservieren, und es wird für kleine und mittelgroße IDCs schwierig sein, mit solchen ultragroß angelegten DDoS-Angriffen umzugehen.
Derzeit bietet Alibaba Cloud Empfehlungen zur Memcached-Sicherheitskonfiguration und Reparaturanleitungen auf Anknight, um Cloud-Nutzern bei der Behebung von Memcached-Risiken zu helfen. Der UDP-Reflexionsblockierungsdienst wird in der Anti-Pro-IP bereitgestellt.
(1) Was ist Memcached?
Memcached ist ein leistungsstarkes, verteiltes In-Memory-Objekt-Caching-System, das in dynamischen Webanwendungen verwendet wird, um Datenbanken zu entlasten. Es reduziert die Anzahl der Datenbanklesungen, indem Daten und Objekte im Speicher gecachet werden, was die Geschwindigkeit dynamischer, datenbankgesteuerter Websites verbessert.
(2) Was ist das Memcached-Geschäftsszenario?
Wenn die Website dynamische Seiten mit viel Traffic enthält, ist die Belastung der Datenbank hoch. Da die meisten Datenbankanfragen Leseoperationen sind, verwenden die meisten Geschäftssysteme mit hoher Lesezahl Memcached, um Datenbanklesungen zu reduzieren, und die Implementierung der Caching-Funktion kann die Datenbanklast erheblich reduzieren und die Website-Leistung verbessern.
(3) Warum wird Memcached verwendet, um DDoS-Angriffe zu verstärken?
- Da Memcache (Version früher als 1.5.6) standardmäßig UDP verwendet, erfüllt es natürlich die Reflexions-DDoS-Bedingung
- Viele Benutzer hören den Dienst unter 0.0.0.0 an, ohne die iptables-Regel zu konfigurieren, die von jeder Quell-IP-Adresse angefordert werden kann, ohne die iptables-Regel zu konfigurieren.
- Memcached spiegelt zehntausende Male das Vielfache wider, was sehr förderlich für DDoS-Angriffe ist, die das Multiplikatorium der Pakete in großen Datenverkehr verstärken
Alibaba Cloud-Sicherheitsexperten haben zwei Vorschläge, wie man Memcached verhindern kann:
Zunächst, wie man vermeidet, als Memcache-Reflektor ausgenutzt zu werden:
Es wird empfohlen, den laufenden Memccached-Dienst zu überprüfen und zu verstärken, um unnötigen Bandbreitenverkehr durch Hacker zu verhindern, der DDoS-Angriffe startet.
Wenn deine Memcached-Version niedriger als 1.5.6 ist und du UDP nicht hören musst. Man kann Memcached neu starten, um dem Startparameter -U 0 beizutreten, z. B. Memcached -U 0, der das Hören auf dem UDP-Protokoll verhindert
Weitere Dokumentationen zur Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Wenn Sie Alibaba Cloud Shield Anknight gekauft haben, können Sie es gemäß den Anweisungen auf der Anknight-Konsole beheben.
Zweitens, wie man sich gegen Memcached-DDoS-Reflexionsangriffe schützt
Es wird empfohlen, die Servicestruktur zu optimieren und den Service über mehrere IPs zu verteilen.
Memcached macht es relativ einfach, hochfrequente DDoS-Angriffe zu starten, und die Verteidigung gegen Memcached-Angriffe erfordert ausreichend Bandbreite. Wenn Sie auf einen hochfrequenten Reflexionsangriff stoßen, können Sie einen Cloud-Clean-Service kaufen und einen Cloud-Clean-Service empfehlen, der UDP-Reflexionen filtert. Alibaba Cloud Anti-DDoS Pro hat UDP-Blockierungsdienste eingeführt.
|
Vorhergehend:Ich liebe es, den Cinema e4a-Quellcode zu sehen, der nicht kostenlos geteilt wirdNächster:dumpbin, um die Funktionen der dynamischen DLL-Bibliothek anzuzeigen
|
Veröffentlicht am 02.03.2018 10:05:56
|
