Questa settimana, i dati dell'Alibaba Cloud Security DDoS Monitoring Center mostrano che la tendenza degli attacchi DDoS con Memcached si sta scaldando rapidamente. Ieri, Alibaba Cloud ha monitorato e difeso con successo contro un attacco DDoS riflesso con Memcached con un traffico fino a 758,6Gbps.
Di seguito è riportato un campione di cattura di pacchetti di un attacco DDoS riflessivo Memcached, che può essere rapidamente distinto dalle caratteristiche del protocollo UDP + porta sorgente 11211.
In questo attacco, l'attaccante falsifica l'IP della vittima per effettuare un gran numero di richieste ai servizi di Memcached su Internet che possono essere sfruttate, e Memcached risponde alle richieste. Un gran numero di pacchetti di risposta viene convergente verso la sorgente dell'indirizzo IP falsificato (cioè la vittima) per formare un attacco di denial-of-service distribuito riflessivo.
La preoccupazione è che Memcached possa amplificare i pacchetti decine di migliaia di volte, cioè la dimensione del pacchetto restituito sia decine di migliaia di volte superiore a quella della richiesta, e gli attaccanti possano lanciare attacchi DDoS con un traffico enorme usando pochissima larghezza di banda. Gli attacchi di riflessione NTP e SSDP possono generalmente essere amplificati solo di decine o centinaia di volte. L'amplificazione con memcache riflette gli attacchi DDoS grazie al suo ingrandimento, che può essere più distruttivo.
Postura d'attacco
Con la pubblicizzazione delle tecniche di attacco DDoS che utilizzano Memcached, si verificano sempre più tentativi DDoS di usare Memcached per la riflessione, e questo tipo di attacco DDoS è in rapida crescita.
Recentemente, gli hacker hanno scansionato e raccolto MemcachedIP che può essere sfruttato in tutto il mondo, e sono comparsi numerosi attacchi DDoS con traffico estremamente elevato e provvisori.
Il numero e il danno dei punti di riflessione attualmente presenti su Internet
L'intero Internet può essere utilizzato per la riflessione Memcached di centinaia di migliaia di IP, fornendo agli aggressori un enorme arsenale.
Con la diminuzione della difficoltà nell'avviare DDoS ultra-large, IDC e fornitori di servizi cloud devono riservare più larghezza di banda di rete per la difesa, e sarà difficile per gli IDC di piccole e medie dimensioni affrontare attacchi DDoS su scala ultra-large.
Attualmente, Alibaba Cloud fornisce raccomandazioni di configurazione di sicurezza Memcached e fornisce indicazioni sulla riparazione su Anknight per aiutare gli utenti cloud a risolvere i rischi di Memcached. Il servizio di blocco delle riflessioni UDP è fornito nell'IP Anti-Pro.
(1) Cos'è Memcached?
Memcached è un sistema di cache distribuito in memoria ad alte prestazioni utilizzato nelle applicazioni web dinamiche per scaricare database. Riduce il numero di letture del database memorizzando dati e oggetti nella memoria, migliorando la velocità dei siti web dinamici e basati su database.
(2) Qual è lo scenario aziendale Memcached?
Se il sito contiene pagine dinamiche con molto traffico, il carico sul database sarà elevato. Poiché la maggior parte delle richieste di database sono operazioni di lettura, la maggior parte dei sistemi aziendali con letture elevate utilizza Memcached per ridurre le letture del database, e l'implementazione della funzione di cache può ridurre significativamente il carico del database e migliorare le prestazioni del sito web.
(3) Perché Memcached viene usato per amplificare gli attacchi DDoS?
- Poiché Memcache (versione precedente alla 1.5.6) ascolta UDP di default, soddisfa naturalmente la condizione DDoS di riflessione
- Molti utenti ascoltano il servizio a 0.0.0.0 senza configurare la regola iptables, che può essere richiesta da qualsiasi indirizzo IP sorgente
- Memcached riflette decine di migliaia di volte il multiplo, il che è molto favorevole agli attacchi DDoS che amplificano il multiplo di pacchetti in un traffico di grandi dimensioni
Gli esperti di sicurezza cloud di Alibaba hanno due suggerimenti su come prevenire il Memcached:
Innanzitutto, come evitare di essere sfruttati come riflettore Memcached:
Si consiglia di verificare e rafforzare il servizio Memccached in esecuzione per prevenire traffico di banda inutile causato da hacker che lanciano attacchi DDoS.
Se la tua versione Memcached è inferiore alla 1.5.6 e non devi ascoltare UDP. Puoi riavviare Memcached per unirsi al parametro di avvio -U 0, ad esempio Memcached -U 0, che vieta l'ascolto sul protocollo udp
Altra documentazione sul rafforzamento della sicurezza dei servizi Memcached:
https://help.aliyun.com/knowledge_detail/37553.html
Se hai acquistato Alibaba Cloud Shield Anknight, puoi ripararlo seguendo le indicazioni sulla console Anknight.
Secondo, come proteggersi dagli attacchi DDoS a riflessione Memcached
Si raccomanda ottimizzare la struttura del servizio e distribuire il servizio su più IP.
Memcached rende relativamente facile lanciare attacchi DDoS ad alto traffico, e difendersi dagli attacchi Memcached richiede una banda sufficiente. Se incontri un attacco di riflessione ad alto traffico, puoi acquistare un servizio di pulizia cloud e consigliare un servizio di pulizia che filtri le riflessioni UDP. Alibaba Cloud Anti-DDoS Pro ha lanciato servizi di blocco UDP.
|
Pubblicato su 02/03/2018 09:40:24
|
|
|
Pubblicato su 02/03/2018 10:05:56
|
