Esta semana, datos del Centro de Monitorización DDoS de Alibaba Cloud Security muestran que la tendencia de ataques DDoS usando Memcached se está intensificando rápidamente. Ayer, Alibaba Cloud monitorizó y defendió con éxito contra un ataque de reflexión DDoS con Memcached con un tráfico de hasta 758,6 Gbps.
A continuación se muestra una muestra de captura de paquetes de un ataque DDoS reflectivo con Memcached, que puede distinguirse rápidamente de las características del protocolo UDP + puerto fuente 11211.
En este ataque, el atacante falsifica la IP de la víctima para realizar un gran número de solicitudes a los servicios de Memcached en Internet que pueden ser explotadas, y Memcached responde a esas solicitudes. Un gran número de paquetes de respuesta convergen hacia la fuente de la dirección IP falsificada (es decir, la víctima) para formar un ataque de denegación de servicio distribuido reflectivo.
La preocupación es que Memcached puede amplificar paquetes decenas de miles de veces, es decir, el tamaño del paquete devuelto es decenas de miles de veces el tamaño de la petición, y los atacantes pueden lanzar ataques DDoS con un tráfico enorme usando muy poco ancho de banda. Los ataques de reflexión NTP y SSDP generalmente solo pueden amplificarse decenas o cientos de veces. La amplificación con memcaching refleja ataques DDoS debido a su aumento, que puede ser más destructivo.
Postura de ataque
Con la difusión de técnicas de ataque DDoS usando Memcached, cada vez se están produciendo más intentos DDoS de usar Memcached para reflexión, y este tipo de ataque DDoS está aumentando rápidamente.
Recientemente, hackers han escaneado y recogido MemcachedIP que puede ser explotada en todo el mundo, y han surgido numerosos ataques DDoS con Memcached de tráfico extremadamente alto y tentativos.
El número y el daño de los puntos de reflexión en Internet en la actualidad
Todo Internet puede usarse para reflejar con Memcached cientos de miles de IPs, proporcionando a los atacantes un arsenal enorme.
A medida que disminuye la dificultad para iniciar DDoS ultragrandes, los IDC y los proveedores de servicios en la nube deben reservar más ancho de banda de red para la defensa, y será difícil para los IDC pequeños y medianos hacer frente a ataques DDoS de ultra gran escala.
Actualmente, Alibaba Cloud ofrece recomendaciones de configuración de seguridad de Memcached y orientación de reparación en Anknight para ayudar a los usuarios de la nube a corregir los riesgos de Memcached. El servicio de bloqueo de reflejos UDP se proporciona en la IP Anti-Pro.
(1) ¿Qué es Memcached?
Memcached es un sistema de caché de objetos distribuidos en memoria de alto rendimiento utilizado en aplicaciones web dinámicas para descargar bases de datos. Reduce el número de lecturas de bases de datos almacenando en caché datos y objetos en memoria, mejorando la velocidad de sitios web dinámicos y basados en bases de datos.
(2) ¿Cuál es el escenario empresarial de Memcached?
Si la web contiene páginas dinámicas con mucho tráfico, la carga sobre la base de datos será alta. Dado que la mayoría de las solicitudes de base de datos son operaciones de lectura, la mayoría de los sistemas empresariales con lecturas elevadas utilizan Memcached para reducir las lecturas de la base de datos, y la implementación de la función de caché puede reducir significativamente la carga de la base de datos y mejorar el rendimiento del sitio web.
(3) ¿Por qué se utiliza Memcached para amplificar ataques DDoS?
- Dado que Memcache (versión anterior a la 1.5.6) escucha UDP por defecto, satisface naturalmente la condición de DDoS de reflexión
- Muchos usuarios escuchan el servicio en 0.0.0.0 sin configurar la regla iptables, que puede solicitarse desde cualquier dirección IP de origen
- Memcached refleja decenas de miles de veces el múltiple, lo que es muy propicio para ataques DDoS que amplifican el múltiplo de paquetes en un gran tráfico
Los expertos en seguridad de Alibaba Cloud tienen dos sugerencias para evitar el Memcached:
Primero, cómo evitar ser explotado como reflector Memcached:
Se recomienda comprobar y reforzar el servicio Memccached en ejecución para evitar tráfico innecesario de ancho de banda causado por hackers que lanzan ataques DDoS.
Si tu versión de Memcached es inferior a la 1.5.6 y no necesitas escuchar UDP. Puedes reiniciar Memcached para unirlo al parámetro de inicio -U 0, por ejemplo, Memcached -U 0, que prohíbe la escucha en el protocolo udp
Más documentación de Endurecimiento de Seguridad de Servicios Memcached:
https://help.aliyun.com/knowledge_detail/37553.html
Si has comprado Alibaba Cloud Shield Anknight, puedes arreglarlo siguiendo las indicaciones de la consola Anknight.
Segundo, cómo protegerse contra ataques de reflexión DDoS con Memcached
Se recomienda optimizar la estructura del servicio y distribuir el servicio entre múltiples IPs.
Memcached facilita relativamente el lanzamiento de ataques DDoS de alto tráfico, y defenderse de ataques Memcached requiere suficiente ancho de banda. Si te enfrentas a un ataque de reflejos de alto tráfico, puedes contratar un servicio de limpieza de nube y recomendar un servicio de limpieza que filtre las reflexiones UDP. Alibaba Cloud Anti-DDoS Pro ha lanzado servicios de bloqueo de UDP.
|
Publicado en 2/3/2018 9:40:24
|
|
|
Publicado en 2/3/2018 10:05:56
|
