이번 주 알리바바 클라우드 보안 DDoS 모니터링 센터의 데이터에 따르면, Memcached를 이용한 DDoS 공격 추세가 급격히 증가하고 있습니다. 어제 알리바바 클라우드는 최대 758.6Gbps의 트래픽을 가진 멤캐시드 DDoS 반사 공격을 성공적으로 모니터링하고 방어했습니다.
다음은 UDP 프로토콜 + 소스 포트 11211의 특성과 빠르게 구별할 수 있는 Memcached 반사 DDoS 공격의 패킷 캡처 샘플입니다.
이 공격에서는 공격자가 피해자의 IP를 위조하여 인터넷상의 Memcached 서비스에 대량의 요청을 보내고, 이를 악용할 수 있게 하며, Memcached는 이에 응답합니다. 많은 응답 패킷이 위조된 IP 주소 소스(즉, 피해자)로 수렴하여 반사형 분산 서비스 거부(DDO) 공격을 형성합니다.
문제는 Memcached가 패킷을 수만 배로 증폭할 수 있다는 점입니다. 즉, 반환되는 패킷 크기가 요청 크기의 수만 배에 달하며, 공격자가 매우 적은 대역폭으로 막대한 트래픽으로 DDoS 공격을 시작할 수 있다는 점입니다. NTP와 SSDP 반사 공격은 일반적으로 수십 배에서 수백 배까지만 증폭될 수 있습니다. 멤캐시드 증폭은 확대율 때문에 DDoS 공격을 반영하며, 이는 더 파괴적일 수 있습니다.
공격 자세
Memcached를 이용한 DDoS 공격 기법이 널리 알려지면서, Memcached를 반사에 이용하려는 DDoS 시도가 점점 늘고 있으며, 이러한 유형의 DDoS 공격은 빠르게 증가하고 있습니다.
최근 해커들은 전 세계적으로 악용될 수 있는 MemcachedIP를 스캔하고 수집했으며, 초고트래픽의 잠정적 Memcached DDoS 공격이 다수 등장했습니다.
현재 인터넷상의 반사 지점의 수와 피해
인터넷 전체가 수십만 개의 IP를 Memcached 반영하는 데 사용될 수 있어 공격자들에게 막대한 무기고를 제공합니다.
초대형 DDoS 개시 난이도가 줄어들면서 IDC와 클라우드 서비스 제공업체는 방어를 위해 더 많은 네트워크 대역폭을 예약해야 하며, 소규모 및 중형 IDC가 이러한 초대규모 DDoS 공격을 처리하기가 어려워질 것입니다.
현재 알리바바 클라우드는 Memcached 보안 구성 권고와 Anknight에 대한 수리 지침을 제공하여 클라우드 사용자가 Memcached 위험을 해결할 수 있도록 돕고 있습니다. UDP 반사 차단 서비스는 Anti-Pro IP에서 제공됩니다.
(1) 멤캐시드란 무엇인가요?
Memcached는 동적 웹 애플리케이션에서 데이터베이스를 하원하기 위해 사용되는 고성능 분산 메모리 내 객체 캐싱 시스템입니다. 메모리에 데이터와 객체를 캐시하여 데이터베이스 읽기 수를 줄여 동적 데이터베이스 기반 웹사이트의 속도를 향상시킵니다.
(2) Memcached 비즈니스 시나리오는 무엇인가요?
웹사이트에 트래픽이 많은 동적 페이지가 있다면 데이터베이스 부하가 높아집니다. 대부분의 데이터베이스 요청이 읽기 작업이기 때문에, 읽기 수가 많은 대부분의 비즈니스 시스템은 Memcached를 사용해 데이터베이스 읽기를 줄이고, 캐싱 함수 구현은 데이터베이스 부하를 크게 줄이고 웹사이트 성능을 향상시킬 수 있습니다.
(3) 왜 Memcached가 DDoS 공격을 증폭하는 데 사용되는가?
- Memcache(1.5.6 이전 버전)는 기본적으로 UDP를 수신하므로 자연스럽게 반사 DDoS 조건을 충족합니다
- 많은 사용자가 iptables 규칙을 설정하지 않고 0.0.0.0에서 서비스를 듣는데, iptables 규칙은 어떤 소스 IP 주소에서도 요청할 수 있습니다
- Memcached는 수만 배의 배를 반사하여, 패킷의 배수를 대규모 트래픽으로 증폭하는 DDoS 공격에 매우 유리합니다
알리바바 클라우드 보안 전문가들은 Memcached를 막기 위한 두 가지 제안을 합니다:
먼저, Memcached 반사기로 악용당하지 않는 방법:
해커가 DDoS 공격을 일으키는 불필요한 대역폭 트래픽을 방지하기 위해 실행 중인 Memccached 서비스를 점검하고 강화하는 것이 권장됩니다.
만약 Memcached 버전이 1.5.6 미만이고 UDP를 들을 필요가 없다면, -U 0 시작 매개변수(예: Memcached -U 0)에 가입하기 위해 Memcached를 재시작할 수 있는데, 이는 UDP 프로토콜 청취를 금지합니다
더 많은 Memcached 서비스 보안 강화 문서:
https://help.aliyun.com/knowledge_detail/37553.html
알리바바 클라우드 쉴드 앤크나이트를 구매하셨다면, 앤크나이트 콘솔의 안내에 따라 수정할 수 있습니다.
둘째, 멤캐시 DDoS 반사 공격으로부터 보호하는 방법
서비스 구조를 최적화하고 여러 IP에 서비스를 분산시키는 것이 권장됩니다.
Memcached는 트래픽이 많은 DDoS 공격을 비교적 쉽게 개시할 수 있게 하며, Memcached 공격을 방어하려면 충분한 대역폭이 필요합니다. 트래픽이 많은 반사 공격을 겪으면, 클라우드 청소 서비스를 구매하고 UDP 반사를 필터링하는 클라우드 청소 서비스를 추천할 수 있습니다. 알리바바 클라우드 안티-DDoS 프로는 UDP 차단 서비스를 출시했습니다.
|
게시됨 2018. 3. 2. 오전 9:40:24
|
|
|
게시됨 2018. 3. 2. 오전 10:05:56
|
