Cette semaine, les données du Centre de Surveillance DDoS d’Alibaba Cloud Security montrent que la tendance des attaques DDoS utilisant Memcached s’intensifie rapidement. Hier, Alibaba Cloud a surveillé et défendu avec succès contre une attaque DDoS par réflexion Memcached avec un trafic allant jusqu’à 758,6 Gbps.
Voici un échantillon de capture de paquets d’une attaque DDoS réfléchissante Memcached, qui peut être rapidement distingué des caractéristiques du protocole UDP + port source 11211.
Dans cette attaque, l’attaquant falsifie l’IP de la victime pour effectuer un grand nombre de requêtes aux services de Memcached sur Internet qui peuvent être exploitées, et Memcached répond à ces requêtes. Un grand nombre de paquets de réponse sont convergés vers la source d’adresse IP falsifiée (c’est-à-dire la victime) pour former une attaque réflexive par déni de service distribué.
La préoccupation est que Memcached peut amplifier des paquets des dizaines de milliers de fois, c’est-à-dire que la taille du paquet retourné est des dizaines de milliers de fois la taille de la requête, et que les attaquants peuvent lancer des attaques DDoS avec un trafic énorme en utilisant très peu de bande passante. Les attaques de réflexion NTP et SSDP ne peuvent généralement être amplifiées que de dizaines à centaines de fois. L’amplification avec mémoire cache reflète les attaques DDoS grâce à son agrandissement qui peut être plus destructeur.
Posture d’attaque
Avec la diffusion des techniques d’attaque DDoS utilisant Memcached, de plus en plus de tentatives DDoS d’utiliser Memcached pour la réflexion ont lieu, et ce type d’attaque DDoS est en forte croissance.
Récemment, des hackers ont scanné et collecté des MemcachedIP qui peuvent être exploités dans le monde entier, et un grand nombre d’attaques DDoS à trafic extrêmement élevé et hésitantes sont apparues.
Le nombre et les effets négatifs des points de réflexion sur Internet actuellement
L’ensemble d’Internet peut être utilisé pour la réflexion Memcached de centaines de milliers d’IP, offrant aux attaquants un arsenal massif.
À mesure que la difficulté d’initier des DDoS ultra-larges diminue, les IDC et les fournisseurs de services cloud doivent réserver plus de bande passante réseau pour la défense, et il sera difficile pour les IDC de petite et moyenne taille de gérer de telles attaques DDoS à très grande échelle.
Actuellement, Alibaba Cloud fournit des recommandations de configuration de sécurité Memcached et des conseils de réparation sur Anknight pour aider les utilisateurs cloud à corriger les risques de Memcached. Le service de blocage de réflexion UDP est fourni dans l’IP Anti-Pro.
(1) Qu’est-ce que Memcached ?
Memcached est un système de mise en cache distribué en mémoire haute performance utilisé dans les applications web dynamiques pour décharger les bases de données. Il réduit le nombre de lectures de bases de données en mettant en cache les données et objets en mémoire, améliorant ainsi la vitesse des sites dynamiques pilotés par la base de données.
(2) Quel est le scénario commercial Memcached ?
Si le site contient des pages dynamiques avec beaucoup de trafic, la charge sur la base de données sera élevée. Puisque la plupart des requêtes de base de données sont des opérations de lecture, la plupart des systèmes métier à forte fréquence de lecture utilisent Memcached pour réduire les lectures de base de données, et la mise en œuvre d’une fonction de mise en cache peut considérablement diminuer la charge de la base de données et améliorer les performances du site web.
(3) Pourquoi Memcached est-il utilisé pour amplifier les attaques DDoS ?
- Puisque Memcache (version antérieure à la 1.5.6) écoute par défaut UDP, il satisfait naturellement la condition DDoS de réflexion
- De nombreux utilisateurs écoutent le service en 0.0.0.0 sans configurer la règle iptables, qui peut être demandée par n’importe quelle adresse IP source
- Memcached reflète des dizaines de milliers de fois le multiple, ce qui est très propice aux attaques DDoS qui amplifient le multiple de paquets en un trafic important
Les experts en sécurité Alibaba Cloud ont deux suggestions pour prévenir le Memcache :
D’abord, comment éviter d’être exploité en tant que réflecteur Memcached :
Il est recommandé de vérifier et de renforcer le service Memccached en cours d’exécution afin d’éviter le trafic inutile de bande passante causé par des hackers visant à lancer des attaques DDoS.
Si votre version Memcached est inférieure à 1.5.6 et que vous n’avez pas besoin d’écouter UDP. Vous pouvez redémarrer Memcached pour rejoindre le paramètre de démarrage -U 0, par exemple Memcached -U 0, qui interdit l’écoute sur le protocole udp
Plus de documentation sur le renforcement de la sécurité des services Memcached :
https://help.aliyun.com/knowledge_detail/37553.html
Si vous avez acheté l’Alibaba Cloud Shield Anknight, vous pouvez le corriger selon les instructions de la console Anknight.
Ensuite, comment se protéger contre les attaques de réflexion DDoS Memcached
Il est recommandé d’optimiser la structure du service et de répartir le service sur plusieurs adresses IP.
Memcached facilite relativement le lancement d’attaques DDoS à fort trafic, et la défense contre les attaques Memcached nécessite une bande passante suffisante. Si vous êtes confronté à une attaque de réflexion à fort trafic, vous pouvez acheter un service de nettoyage cloud et recommander un service de nettoyage qui filtre les réflexions UDP. Alibaba Cloud Anti-DDoS Pro a lancé des services de blocage UDP.
|
Publié sur 02/03/2018 09:40:24
|
|
|
Publié sur 02/03/2018 10:05:56
|
