Šonedēļ Alibaba Cloud Security DDoS uzraudzības centra dati liecina, ka DDoS uzbrukumu tendence, izmantojot Memcached, strauji pieaug. Vakar Alibaba Cloud veiksmīgi uzraudzīja un aizstāvēja pret Memcached DDoS atstarošanas uzbrukumu ar datplūsmu līdz 758.6 Gbps.
Tālāk ir Memcached atstarojoša DDoS uzbrukuma pakešu uztveršanas paraugs, ko var ātri atšķirt no UDP protokola + avota porta 11211 īpašībām.
Šajā uzbrukumā uzbrucējs vilto upura IP, lai veiktu lielu skaitu pieprasījumu Memcached pakalpojumiem internetā, kurus var izmantot, un Memcached atbild uz pieprasījumiem. Liels skaits atbildes paketes tiek apvienotas ar viltotu IP adreses avotu (t.i., upuri), lai veidotu atstarojošu izkliedētu pakalpojuma atteikuma uzbrukumu.
Bažas ir par to, ka Memcached var pastiprināt paketes desmitiem tūkstošu reižu, tas ir, atgrieztais paketes lielums ir desmitiem tūkstošu reižu lielāks par pieprasījumu, un uzbrucēji var uzsākt DDoS uzbrukumus ar milzīgu trafiku, izmantojot ļoti mazu joslas platumu. NTP un SSDP atstarošanas uzbrukumus parasti var pastiprināt tikai desmitiem līdz simtiem reižu. Memcached pastiprināšana atspoguļo DDoS uzbrukumus, jo tā palielinājums, kas var būt destruktīvāks.
Uzbrukuma poza
Publicējot DDoS uzbrukuma metodes, izmantojot Memcached, notiek arvien vairāk DDoS mēģinājumu izmantot Memcached pārdomām, un šāda veida DDoS uzbrukumi strauji pieaug.
Nesen hakeri ir skenējuši un apkopojuši MemcachedIP, ko var izmantot visā pasaulē, un ir parādījies liels skaits provizorisku īpaši augstas datplūsmas Memcached DDoS uzbrukumu.
Pārdomu punktu skaits un kaitējums internetā šobrīd
Visu internetu var izmantot, lai Memcached atspoguļotu simtiem tūkstošu IP, nodrošinot uzbrucējiem milzīgu arsenālu.
Tā kā samazinās grūtības uzsākt īpaši lielu DDoS, IDC un mākoņpakalpojumu sniedzējiem ir jārezervē lielāks tīkla joslas platums aizsardzībai, un maziem un vidējiem IDC būs grūti tikt galā ar šādiem īpaši liela mēroga DDoS uzbrukumiem.
Pašlaik Alibaba Cloud sniedz Memcached drošības konfigurācijas ieteikumus un sniedz remonta norādījumus par Anknight, lai palīdzētu mākoņa lietotājiem novērst Memcached riskus. UDP atstarošanas bloķēšanas pakalpojums tiek nodrošināts Anti-Pro IP.
(1) Kas ir Memcached?
Memcached ir augstas veiktspējas izplatīta atmiņas objektu kešatmiņas sistēma, ko izmanto dinamiskajās tīmekļa lietojumprogrammās, lai izkrautu datu bāzes. Tas samazina datu bāzes lasījumu skaitu, saglabājot atmiņā esošos datus un objektus, uzlabojot dinamisko, datu bāzes vadītu vietņu ātrumu.
(2) Kāds ir Memcached biznesa scenārijs?
Ja tīmekļa vietnē ir dinamiskas lapas ar lielu trafiku, datu bāzes slodze būs augsta. Tā kā lielākā daļa datu bāzes pieprasījumu ir lasīšanas operācijas, lielākā daļa biznesa sistēmu ar augstu lasījumu izmanto Memcached, lai samazinātu datu bāzes lasījumus, un kešatmiņas funkcijas ieviešana var ievērojami samazināt datu bāzes slodzi un uzlabot vietnes veiktspēju.
(3) Kāpēc Memcached tiek izmantots, lai pastiprinātu DDoS uzbrukumus?
- Tā kā Memcache (versija vecāka par 1.5.6) klausās UDP pēc noklusējuma, tas, protams, atbilst refleksijas DDoS nosacījumam
- Daudzi lietotāji klausās pakalpojumu 0.0.0.0, nekonfigurējot iptables noteikumu, ko var pieprasīt jebkura avota IP adrese
- Memcached atspoguļo desmitiem tūkstošu reižu vairāk, kas ir ļoti labvēlīgs DDoS uzbrukumiem, kas pastiprina pakešu daudzkārtēju lielā datplūsmā
Alibaba Cloud drošības ekspertiem ir divi ieteikumi, kā novērst Memcached:
Pirmkārt, kā izvairīties no ekspluatācijas kā Memcached atstarotājs:
Ieteicams pārbaudīt un nostiprināt darbojošos Memccached pakalpojumu, lai novērstu nevajadzīgu joslas platuma trafiku, ko hakeri izraisa DDoS uzbrukumu uzsākšanai.
Ja jūsu Memcached versija ir zemāka par 1.5.6 un jums nav nepieciešams klausīties UDP. Varat restartēt Memcached, lai pievienotos startēšanas parametram -U 0, piemēram, Memcached -U 0, kas aizliedz klausīties udp protokolā
Vairāk Memcached pakalpojuma drošības nostiprināšanas dokumentācijas:
https://help.aliyun.com/knowledge_detail/37553.html
Ja esat iegādājies Alibaba Cloud Shield Anknight, varat to salabot saskaņā ar Anknight konsoles norādījumiem.
Otrkārt, kā aizsargāt pret Memcached DDoS atstarošanas uzbrukumiem
Ieteicams optimizēt pakalpojuma struktūru un izkliedēt pakalpojumu vairākos IP.
Memcached ļauj salīdzinoši viegli uzsākt lielas datplūsmas DDoS uzbrukumus, un aizsardzībai pret Memcached uzbrukumiem ir nepieciešams pietiekams joslas platums. Ja rodas lielas datplūsmas atstarošanas uzbrukums, varat iegādāties mākoņa tīrīšanas pakalpojumu un ieteikt mākoņa tīrīšanas pakalpojumu, kas filtrē UDP atstarojumus. Alibaba Cloud Anti-DDoS Pro ir uzsākusi UDP bloķēšanas pakalpojumus.
|
Publicēts 02.03.2018 09:40:24
|
|
|
Publicēts 02.03.2018 10:05:56
|
