Šią savaitę "Alibaba Cloud Security DDoS Monitoring Center" duomenys rodo, kad DDoS atakų naudojant "Memcached" tendencija sparčiai įkaista. Vakar "Alibaba Cloud" sėkmingai stebėjo ir apsigynė nuo "Memcached" DDoS atspindžio atakos, kurios srautas siekė iki 758,6 Gbps.
Toliau pateikiamas "Memcached" atspindinčios DDoS atakos paketų fiksavimo pavyzdys, kurį galima greitai atskirti nuo UDP protokolo + šaltinio prievado 11211 charakteristikų.
Šios atakos metu užpuolikas suklastoja aukos IP, kad pateiktų daugybę užklausų "Memcached" paslaugoms internete, kurias galima išnaudoti, o "Memcached" atsako į užklausas. Daugybė atsakymų paketų sujungiami su suklastotu IP adreso šaltiniu (t. y. auka), kad susidarytų atspindinti paskirstyta paslaugų atsisakymo ataka.
Susirūpinimą kelia tai, kad "Memcached" gali sustiprinti paketus dešimtis tūkstančių kartų, tai yra, grąžinto paketo dydis yra dešimtis tūkstančių kartų didesnis už užklausą, o užpuolikai gali pradėti DDoS atakas su didžiuliu srautu, naudodami labai mažą pralaidumą. NTP ir SSDP atspindžio atakos paprastai gali būti sustiprintos tik dešimtimis ar šimtais kartų. "Memcached" stiprinimas atspindi DDoS atakas dėl savo padidinimo, kuris gali būti destruktyvesnis.
Atakos laikysena
Viešinant DDoS atakų metodus naudojant "Memcached", vis daugiau DDoS bandymų naudoti "Memcached" apmąstymams, o tokio tipo DDoS atakos sparčiai auga.
Neseniai įsilaužėliai nuskaitė ir surinko "MemcachedIP", kurį galima išnaudoti visame pasaulyje, ir atsirado daugybė preliminarių itin didelio srauto "Memcached" DDoS atakų.
Šiuo metu internete esančių apmąstymų taškų skaičius ir žala
Visas internetas gali būti naudojamas šimtų tūkstančių IP atspindžiui, suteikiant užpuolikams didžiulį arsenalą.
Mažėjant sunkumams inicijuoti itin didelius DDoS, IDC ir debesijos paslaugų teikėjai turi rezervuoti daugiau tinklo pralaidumo gynybai, o mažiems ir vidutiniams IDC bus sunku susidoroti su tokiomis itin didelio masto DDoS atakomis.
Šiuo metu "Alibaba Cloud" teikia "Memcached" saugos konfigūracijos rekomendacijas ir "Anknight" taisymo gaires, kad padėtų debesies vartotojams išspręsti "Memcached" riziką. UDP atspindžio blokavimo paslauga teikiama "Anti-Pro" IP.
(1) Kas yra "Memcached"?
"Memcached" yra didelio našumo paskirstyta atminties objektų talpyklos sistema, naudojama dinaminėse žiniatinklio programose duomenų bazėms iškrauti. Tai sumažina duomenų bazės nuskaitymų skaičių talpykloje kaupiant duomenis ir objektus atmintyje, pagerinant dinamiškų, duomenų bazėmis pagrįstų svetainių greitį.
(2) Koks yra "Memcached" verslo scenarijus?
Jei svetainėje yra dinamiškų puslapių su dideliu srautu, duomenų bazės apkrova bus didelė. Kadangi dauguma duomenų bazių užklausų yra skaitymo operacijos, dauguma verslo sistemų su dideliu skaitymu naudoja "Memcached", kad sumažintų duomenų bazės skaitymą, o talpyklos funkcijos įdiegimas gali žymiai sumažinti duomenų bazės apkrovą ir pagerinti svetainės našumą.
(3) Kodėl "Memcached" naudojamas DDoS atakoms sustiprinti?
- Kadangi Memcache (versija senesnė nei 1.5.6) klausosi UDP pagal nutylėjimą, jis natūraliai atitinka atspindžio DDoS sąlygą
- Daugelis vartotojų klausosi paslaugos 0.0.0.0 nekonfigūruodami iptables taisyklės, kurios gali paprašyti bet kuris šaltinio IP adresas
- Memcached atspindi dešimtis tūkstančių kartų daugiau, o tai labai palanku DDoS atakoms, kurios sustiprina paketų kartotinį į didelį srautą
"Alibaba Cloud" saugumo ekspertai turi du pasiūlymus, kaip išvengti "Memcached":
Pirma, kaip išvengti išnaudojimo kaip "Memcached" atšvaito:
Rekomenduojama patikrinti ir sustiprinti veikiančią "Memccached" paslaugą, kad būtų išvengta nereikalingo pralaidumo srauto, kurį sukelia įsilaužėliai DDoS atakoms.
Jei jūsų "Memcached" versija yra senesnė nei 1.5.6 ir jums nereikia klausytis UDP. Galite iš naujo paleisti "Memcached", kad prisijungtumėte prie paleisties parametro -U 0, pvz., "Memcached -U 0", kuris draudžia klausytis udp protokolo
Daugiau "Memcached Service Security Hardening" dokumentacijos:
https://help.aliyun.com/knowledge_detail/37553.html
Jei įsigijote "Alibaba Cloud Shield Anknight", galite tai ištaisyti pagal "Anknight" konsolės nurodymus.
Antra, kaip apsisaugoti nuo Memcached DDoS atspindžio atakų
Rekomenduojama optimizuoti paslaugos struktūrą ir išsklaidyti paslaugą keliuose IP.
"Memcached" leidžia gana lengvai pradėti didelio srauto DDoS atakas, o apsisaugoti nuo "Memcached" atakų reikia pakankamai pralaidumo. Jei susiduriate su didelio srauto atspindžio ataka, galite įsigyti debesies valymo paslaugą ir rekomenduoti debesies valymo paslaugą, kuri filtruoja UDP atspindžius. "Alibaba Cloud Anti-DDoS Pro" pristatė UDP blokavimo paslaugas.
|
Paskelbta 2018-03-02 09:40:24
|
|
|
Paskelbta 2018-03-02 10:05:56
|
