Minggu ini, data dari Pusat Pemantauan DDoS Alibaba Cloud Security menunjukkan bahwa tren serangan DDoS menggunakan Memcached memanas dengan cepat. Kemarin, Alibaba Cloud berhasil memantau dan mempertahankan diri dari serangan refleksi DDoS Memcached dengan lalu lintas hingga 758,6Gbps.
Berikut ini adalah sampel pengambilan paket dari serangan DDoS reflektif Memcached, yang dapat dengan cepat dibedakan dari karakteristik protokol UDP + port sumber 11211.
Dalam serangan ini, penyerang memalsukan IP korban untuk membuat sejumlah besar permintaan ke layanan Memcached di Internet yang dapat dieksploitasi, dan Memcached menanggapi permintaan tersebut. Sejumlah besar paket respons dikonvergensi ke sumber alamat IP palsu (yaitu, korban) untuk membentuk serangan penolakan layanan terdistribusi reflektif.
Kekhawatirannya adalah bahwa Memcached dapat memperkuat paket puluhan ribu kali, yaitu, ukuran paket yang dikembalikan puluhan ribu kali ukuran permintaan, dan penyerang dapat meluncurkan serangan DDoS dengan lalu lintas besar menggunakan bandwidth yang sangat sedikit. Serangan refleksi NTP dan SSDP umumnya hanya dapat diperkuat puluhan hingga ratusan kali. Amplifikasi memcached mencerminkan serangan DDoS karena perbesarannya, yang bisa lebih merusak.
Postur serangan
Dengan publikasi teknik serangan DDoS menggunakan Memcached, semakin banyak upaya DDoS untuk menggunakan Memcached untuk refleksi terjadi, dan jenis serangan DDoS ini meningkat pesat.
Baru-baru ini, peretas telah memindai dan mengumpulkan MemcachedIP yang dapat dieksploitasi di seluruh dunia, dan sejumlah besar serangan DDoS Memcached dengan lalu lintas ultra-tinggi tentatif telah muncul.
Jumlah dan bahaya titik refleksi di Internet saat ini
Seluruh Internet dapat digunakan untuk refleksi Memcached dari ratusan ribu IP, memberi penyerang gudang senjata besar.
Seiring dengan berkurangnya kesulitan memulai DDoS ultra-besar, IDC dan penyedia layanan cloud perlu memesan lebih banyak bandwidth jaringan untuk pertahanan, dan akan sulit bagi IDC kecil dan menengah untuk menangani serangan DDoS skala ultra-besar seperti itu.
Saat ini, Alibaba Cloud memberikan rekomendasi konfigurasi keamanan Memcached dan memberikan panduan perbaikan pada Anknight untuk membantu pengguna cloud memperbaiki risiko Memcached. Layanan pemblokiran refleksi UDP disediakan di IP Anti-Pro.
(1) Apa itu Memcached?
Memcached adalah sistem caching objek dalam memori terdistribusi berkinerja tinggi yang digunakan dalam aplikasi web dinamis untuk membongkar database. Ini mengurangi jumlah pembacaan database dengan menyimpan data dan objek dalam memori, meningkatkan kecepatan situs web dinamis berbasis database.
(2) Apa skenario bisnis Memcached?
Jika situs web berisi halaman dinamis dengan banyak lalu lintas, beban pada database akan tinggi. Karena sebagian besar permintaan database adalah operasi baca, sebagian besar sistem bisnis dengan pembacaan tinggi menggunakan Memcached untuk mengurangi pembacaan database, dan penerapan fungsi penembolokan dapat secara signifikan mengurangi beban database dan meningkatkan kinerja situs web.
(3) Mengapa Memcached digunakan untuk memperkuat serangan DDoS?
- Karena Memcache (versi sebelumnya dari 1.5.6) mendengarkan UDP secara default, secara alami memenuhi kondisi DDoS refleksi
- Banyak pengguna mendengarkan layanan di 0.0.0.0 tanpa mengonfigurasi aturan iptables, yang dapat diminta oleh alamat IP sumber mana pun
- Memcached mencerminkan puluhan ribu kali kelipatan, yang sangat kondusif untuk serangan DDoS yang memperkuat kelipatan paket menjadi lalu lintas besar
Pakar keamanan Alibaba Cloud memiliki dua saran tentang cara mencegah Memcached:
Pertama, cara menghindari dieksploitasi sebagai reflektor Memcached:
Disarankan untuk memeriksa dan memperkuat layanan Memccached yang sedang berjalan untuk mencegah lalu lintas bandwidth yang tidak perlu yang disebabkan oleh peretas untuk meluncurkan serangan DDoS.
Jika versi Memcached Anda lebih rendah dari 1.5.6 dan Anda tidak perlu mendengarkan UDP. Anda dapat memulai ulang Memcached untuk bergabung dengan parameter startup -U 0, misalnya, Memcached -U 0, yang melarang mendengarkan protokol udp
Dokumentasi Pengerasan Keamanan Layanan Memcached lainnya lainnya:
https://help.aliyun.com/knowledge_detail/37553.html
Jika Anda telah membeli Alibaba Cloud Shield Anknight, Anda dapat memperbaikinya sesuai dengan panduan di konsol Anknight.
Kedua, cara melindungi dari serangan refleksi DDoS Memcached
Disarankan untuk mengoptimalkan struktur layanan dan menyebarkan layanan di beberapa IP.
Memcached membuatnya relatif mudah untuk meluncurkan serangan DDoS dengan lalu lintas tinggi, dan mempertahankan diri dari serangan Memcached membutuhkan bandwidth yang cukup. Jika Anda mengalami serangan refleksi lalu lintas tinggi, Anda dapat membeli layanan pembersihan cloud dan merekomendasikan layanan pembersihan cloud yang memfilter refleksi UDP. Alibaba Cloud Anti-DDoS Pro telah meluncurkan layanan pemblokiran UDP.
|
Diposting pada 02/03/2018 09.40.24
|
|
|
Diposting pada 02/03/2018 10.05.56
|
