Tällä viikolla Alibaba Cloud Security DDoS Monitoring Centerin tiedot osoittavat, että Memcachedia käyttävien DDoS-hyökkäysten trendi kuumenee nopeasti. Eilen Alibaba Cloud valvoi ja puolustautui onnistuneesti Memcached-DDoS-heijastushyökkäystä vastaan, jonka liikennenopeus oli jopa 758,6 Gbps.
Seuraavassa on pakettien kaappausnäyte Memcached-heijastavasta DDoS-hyökkäyksestä, joka voidaan nopeasti erottaa UDP-protokollan + lähdeportin 11211 ominaisuuksista.
Tässä hyökkäyksessä hyökkääjä väärentää uhrin IP-osoitteen tehdäkseen suuren määrän pyyntöjä Memcachedin palveluille Internetissä, joita voidaan hyödyntää, ja Memcached vastaa pyyntöihin. Suuri määrä vastauspaketteja konvergoidaan väärennettyyn IP-osoitelähteeseen (eli uhriin) muodostaen heijastavan hajautetun palvelunestohyökkäyksen.
Huoli on, että Memcached voi vahvistaa paketteja kymmeniä tuhansia kertoja, eli palautetun paketin koko on kymmeniä tuhansia kertoja pyynnön kokoon nähden, ja hyökkääjät voivat käynnistää DDoS-hyökkäyksiä valtavalla liikenteellä hyvin vähällä kaistanleveydellä. NTP- ja SSDP-heijastushyökkäyksiä voidaan yleensä vahvistaa vain kymmeniä tai satoja kertoja. Memcached-vahvistus heijastaa DDoS-hyökkäyksiä suurennuksensa ansiosta, joka voi olla tuhoisampaa.
Hyökkäysasento
DDoS-hyökkäystekniikoiden yleistyessä Memcachedin avulla DDoS-yrityksiä käyttää Memcachedia heijastoon tapahtuu yhä enemmän, ja tämän tyyppiset DDoS-hyökkäykset ovat nopeasti lisääntymässä.
Viime aikoina hakkerit ovat skannanneet ja keränneet MemcachedIP:tä, jota voidaan hyödyntää ympäri maailmaa, ja suuri määrä alustavia erittäin vilkkaita Memcached-DDoS-hyökkäyksiä on ilmestynyt.
Pohdintapisteiden määrä ja haitta internetissä tällä hetkellä
Koko Internetiä voidaan käyttää Memcached-heijastukseen sadoista tuhansista IP-osoitteista, tarjoten hyökkääjille valtavan arsenaalin.
Kun ultra-suurten DDoS:ien käynnistämisen vaikeus vähenee, IDC:iden ja pilvipalveluntarjoajien on varattava enemmän verkkokaistanleveyttä puolustukseen, ja pienten ja keskisuurten IDC-yritysten on vaikea käsitellä tällaisia ultra-suuria DDoS-hyökkäyksiä.
Tällä hetkellä Alibaba Cloud tarjoaa Memcached-tietoturvakonfiguraatiosuosituksia ja korjausohjeita Anknightille auttaakseen pilvikäyttäjiä korjaamaan Memcached-riskejä. UDP-heijastuksen estopalvelu tarjotaan Anti-Pro IP:ssä.
(1) Mikä on Memcached?
Memcached on korkean suorituskyvyn hajautettu muistin sisäinen objektivälimuistijärjestelmä, jota käytetään dynaamisissa web-sovelluksissa tietokantojen purkamiseen. Se vähentää tietokantalukujen määrää välimuistittamalla dataa ja olioita muistiin, parantaen dynaamisten, tietokantapohjaisten verkkosivustojen nopeutta.
(2) Mikä on Memcachedin liiketoimintatilanne?
Jos sivustolla on dynaamisia sivuja, joilla on paljon liikennettä, tietokannan kuormitus on suuri. Koska suurin osa tietokantapyynnöistä on lukutoimintoja, useimmat korkean lukumäärän liiketoimintajärjestelmät käyttävät Memcachedia tietokannan lukemisen vähentämiseksi, ja välimuistitoiminnon käyttöönotto voi merkittävästi vähentää tietokantakuormitusta ja parantaa verkkosivuston suorituskykyä.
(3) Miksi Memcachedia käytetään DDoS-hyökkäysten vahvistamiseen?
- Koska Memcache (versio vanhempi kuin 1.5.6) kuuntelee oletuksena UDP:tä, se täyttää luonnollisesti heijastus-DDoS-ehdon
- Monet käyttäjät kuuntelevat palvelua muodossa 0.0.0.0 ilman iptables-säännön konfigurointia, jota voi pyytää mistä tahansa lähde-IP-osoitteesta
- Memcached heijastaa kymmeniä tuhansia kertoja useampia, mikä on erittäin suotuisaa DDoS-hyökkäyksille, jotka vahvistavat pakettien moninteen suureksi liikenteeksi
Alibaba Cloudin tietoturva-asiantuntijoilla on kaksi ehdotusta Memcachedin estämiseksi:
Ensinnäkin, miten välttää memcached-heijastimena hyväksikäytetty:
On suositeltavaa tarkistaa ja vahvistaa käynnissä oleva Memccached-palvelu, jotta hakkerit eivät voi käynnistää tarpeetonta kaistanleveyttä DDoS-hyökkäyksissä.
Jos Memcached-versiosi on alle 1.5.6 eikä sinun tarvitse kuunnella UDP:tä. Voit käynnistää Memcachedin uudelleen liittyäksesi -U 0 käynnistysparametriin, esim. Memcached -U 0, joka estää kuuntelemisen udp-protokollassa
Lisää Memcached Service Security Hardening -dokumentaatiota:
https://help.aliyun.com/knowledge_detail/37553.html
Jos olet ostanut Alibaba Cloud Shield Anknightin, voit korjata sen Anknight-konsolin ohjeiden mukaan.
Toiseksi, miten suojautua Memcached-DDoS-heijastushyökkäyksiltä
On suositeltavaa optimoida palvelurakenne ja jakaa palvelu useiden IP-osoitteiden kesken.
Memcached tekee suuren liikenteen DDoS-hyökkäysten käynnistämisestä suhteellisen helppoa, ja Memcached-hyökkäyksiä vastaan puolustautuminen vaatii riittävän kaistanleveyden. Jos kohtaat suuren liikenteen heijastushyökkäyksen, voit ostaa pilvisiivouspalvelun ja suositella pilvipuhdistuspalvelua, joka suodattaa UDP-heijastuksia. Alibaba Cloud Anti-DDoS Pro on lanseerannut UDP-estopalvelut.
|
Julkaistu 2.3.2018 9.40.24
|
|
|
Julkaistu 2.3.2018 10.05.56
|
