Ezen a héten az Alibaba Cloud Security DDoS Monitoring Center adatai azt mutatják, hogy a Memcached-et használó DDoS támadások tendenciája gyorsan felmelegszik. Tegnap az Alibaba Cloud sikeresen figyelte és védte meg a Memcached DDoS visszaverődési támadást, amely akár 758,6 Gbps forgalmat is tartalmazott.
Az alábbiakban egy Memcached reflektív DDoS támadás csomagfoglalási mintája található, amely gyorsan megkülönböztethető az UDP protokoll + 11211 forrásport jellemzőitől.
Ebben a támadásban a támadó hamisítja az áldozat IP-címét, hogy nagy számú kérést tegyen a Memcached internetes szolgáltatásaihoz, amelyeket ki lehet használni, és a Memcached válaszol a kérésekre. Számos válaszcsomagot konvergálnak a hamisított IP-címforráshoz (azaz az áldozathoz), hogy egy reflektív elosztott szolgáltatásmegtagadási támadást hozzanak létre.
Az aggodalom az, hogy a Memcached több tízezres módon képes csomagokat erősíteni, vagyis a visszaküldött csomag mérete több tízezreszese a kérés méretének, és a támadók hatalmas forgalommal indíthatnak DDoS támadásokat nagyon kevés sávszélességgel. Az NTP és SSDP visszaverődési támadások általában csak tízes-százszorosan felerősíthetők. A Memcached erősítés a DDoS támadásokat tükrözi a nagyítása miatt, amely pusztítóbb lehet.
Támadó testtartás
A Memcached által használt DDoS támadási technikák nyilvánosságra hozatalával egyre több DDoS kísérlet történik a Memcached reflexiós használatára, és ez a típusú DDoS támadás gyorsan növekszik.
Nemrégiben hackerek beszkennelték és gyűjtötték a MemcachedIP-eket, amelyeket világszerte kihasználhatnak, és számos óvatos, ultra nagy forgalmas Memcached DDoS támadás jelent meg.
A reflektív pontok száma és káros hatásai jelenleg az interneten
Az egész internet használható Memcached visszatükrözésére több százezer IP-címről, ami hatalmas arzenált biztosít a támadóknak.
Ahogy az ultra-nagy DDoS indításának nehézsége csökken, az IDC-knek és a felhőszolgáltatóknak több hálózati sávszélességet kell fenntartaniuk a védelemre, és a kis- és középméretű IDC-k számára nehéz lesz kezelni az ilyen ultra-nagy léptékű DDoS támadásokat.
Jelenleg az Alibaba Cloud Memcached biztonsági konfigurációs ajánlásokat és javítási tanácsokat ad az Anknight-on, hogy segítse a felhőfelhasználókat a Memcached kockázatok megoldásában. Az UDP visszaverődés blokkoló szolgáltatást az Anti-Pro IP biztosítja.
(1) Mi az a Memcached?
A Memcached egy nagy teljesítményű, elosztott, memórián belüli objektumgyorsítótározó rendszer, amelyet dinamikus webalkalmazásokban használnak adatbázisok leterítésére. Az adatok és objektumok gyorsítótárába helyezésével csökkenti az adatbázis olvasásainak számát, javítva a dinamikus, adatbázis-alapú weboldalak sebességét.
(2) Mi a Memcached üzleti helyzet?
Ha a weboldal dinamikus oldalakat tartalmaz, nagy forgalommal, az adatbázis terhelése nagy lesz. Mivel a legtöbb adatbázis-kérés olvasási művelet, a legtöbb magas olvasással rendelkező üzleti rendszer a Memcachede-et használja az adatbázis olvasásainak csökkentésére, és a gyorsítótára funkció bevezetése jelentősen csökkentheti az adatbázis terhelését és javíthatja a weboldal teljesítményét.
(3) Miért használják a Memcached-et DDoS támadások felerősítésére?
- Mivel a Memcache (1.5.6-nál korábbi verzió) alapértelmezés szerint UDP-t hallgat, természetesen teljesíti a visszaverődési DDoS feltételt
- Sok felhasználó hallgatja a szolgáltatást 0.0.0.0 verzióban anélkül, hogy konfigurálná az iptables szabályt, amelyet bármely forrás IP-cím kérhet
- A Memcached több tízezrével annyit tükröz, ami nagyon kedvező a DDoS támadások számára, amelyek a csomagok többszörösét nagy forgalommá erősítik
Az Alibaba Cloud biztonsági szakértői két javaslatot adnak a Memcached megelőzésére:
Először is, hogyan kerüljük el a Memcached reflektorként való kizsákmányolást:
Ajánlott ellenőrizni és megerősíteni a futó Memccached szolgáltatást, hogy megakadályozzuk a hackerek által okozott felesleges sávszélességi forgalmat DDoS támadások elindításához.
Ha a Memcached verziód alacsonyabb, mint az 1.5.6, és nem kell UDP-t hallgatnod. Újraindíthatod a Memcached-et, hogy csatlakozzon a -U 0 indítási paraméterhez, például Memcached -U 0-hoz, amely tiltja az udp protokoll hallgatását
További Memcached Service Security Hardening dokumentáció:
https://help.aliyun.com/knowledge_detail/37553.html
Ha megvásároltad az Alibaba Cloud Shield Anknightot, az Anknight konzolon található útmutató szerint meg tudod javítani.
Másodszor, hogyan védjünk meg a Memcached DDoS visszaverődési támadások ellen
Ajánlott a szolgáltatási struktúra optimalizálása és a szolgáltatás több IP-re való szétoszlása.
A Memcached viszonylag egyszerűvé teszi a nagy forgalmú DDoS támadások indítását, és a Memcached támadások elleni védekezés elegendő sávszélességet igényel. Ha nagy forgalmas visszaverődési támadással találkozol, vásárolhatsz felhőtisztító szolgáltatást, és ajánlhatsz egy felhőtisztító szolgáltatást, amely szűri az UDP visszaverődéseket. Az Alibaba Cloud Anti-DDoS Pro elindította az UDP blokkoló szolgáltatásokat.
|
Közzétéve 2018. 03. 02. 9:40:24
|
|
|
Közzétéve 2018. 03. 02. 10:05:56
|
