Denne uken viser data fra Alibaba Cloud Security DDoS Monitoring Center at trenden med DDoS-angrep ved bruk av Memcached øker raskt. I går overvåket og forsvarte Alibaba Cloud seg mot et Memcachet DDoS-refleksjonsangrep med en trafikk på opptil 758,6 Gbps.
Følgende er et pakkefangsteksempel av et Memcached reflekterende DDoS-angrep, som raskt kan skilles fra egenskapene til UDP-protokoll + kildeport 11211.
I dette angrepet forfalsker angriperen offerets IP for å sende et stort antall forespørsler til Memcacheds tjenester på Internett som kan utnyttes, og Memcached svarer på forespørslene. Et stort antall responspakker konvergeres til kilden til den forfalskede IP-adressen (dvs. offeret) for å danne et reflekterende distribuert tjenestenektangrep.
Bekymringen er at Memcached kan forsterke pakker titusenvis av ganger, det vil si at den returnerte pakkestørrelsen er titusenvis av ganger størrelsen på forespørselen, og angripere kan starte DDoS-angrep med enorm trafikk og bruke svært lite båndbredde. NTP- og SSDP-refleksjonsangrep kan vanligvis bare forsterkes med titalls til hundrevis av ganger. Memcached forsterkning reflekterer DDoS-angrep på grunn av forstørrelsen, som kan være mer ødeleggende.
Angrepsstilling
Med publiseringen av DDoS-angrepsteknikker ved bruk av Memcached, skjer det stadig flere DDoS-forsøk på å bruke Memcached for refleksjon, og denne typen DDoS-angrep øker raskt.
Nylig har hackere skannet og samlet inn MemcachedIP som kan utnyttes over hele verden, og et stort antall forsiktige, svært trafikkerte Memcached DDoS-angrep har dukket opp.
Antallet og skaden av refleksjonspunkter på Internett for øyeblikket
Hele Internett kan brukes til Memcache-refleksjon av hundretusener av IP-adresser, noe som gir angripere et enormt arsenal.
Etter hvert som vanskeligheten med å starte ultrastore DDoS blir mindre, må IDC-er og skytjenesteleverandører reservere mer nettverksbåndbredde til forsvar, og det vil være vanskelig for små og mellomstore IDC-er å håndtere slike ultra-store DDoS-angrep.
For øyeblikket gir Alibaba Cloud anbefalinger for Memcached sikkerhetskonfigurasjon og gir reparasjonsveiledning på Anknight for å hjelpe skybrukere med å løse Memcached-risikoer. UDP-refleksjonsblokkeringstjenesten tilbys i Anti-Pro IP.
(1) Hva er Memcached?
Memcached er et høyytelses distribuert objektcaching-system i minnet som brukes i dynamiske webapplikasjoner for å avlaste databaser. Den reduserer antall databaselesinger ved å cache data og objekter i minnet, noe som forbedrer hastigheten på dynamiske, databasedrevne nettsteder.
(2) Hva er forretningsscenariet for Memcached?
Hvis nettsiden inneholder dynamiske sider med mye trafikk, vil belastningen på databasen være høy. Siden de fleste databaseforespørsler er leseoperasjoner, bruker de fleste forretningssystemer med høye lesinger Memcached for å redusere databaselesing, og implementeringen av caching-funksjonen kan redusere databasebelastningen betydelig og forbedre nettstedets ytelse.
(3) Hvorfor brukes Memcached til å forsterke DDoS-angrep?
- Siden Memcache (versjon tidligere enn 1.5.6) lytter til UDP som standard, tilfredsstiller den naturlig refleksjonsbetingelsen DDoS
- Mange brukere lytter til tjenesten på 0.0.0.0 uten å konfigurere iptables-regelen, som kan forespørres av hvilken som helst kilde-IP-adresse
- Memcached reflekterer titusenvis av ganger multiplet, noe som er svært gunstig for DDoS-angrep som forsterker multiplumet av pakker til stor trafikk
Eksperter på sikkerhet i Alibaba Cloud har to forslag til hvordan man kan forhindre Memcached:
Først, hvordan unngå å bli utnyttet som en Memcached reflektor:
Det anbefales å sjekke og forsterke den kjørende Memccached-tjenesten for å forhindre unødvendig båndbreddetrafikk forårsaket av hackere som starter DDoS-angrep.
Hvis din Memcached-versjon er lavere enn 1.5.6 og du ikke trenger å høre på UDP. Du kan starte Memcached på nytt for å koble til -U 0 oppstartparameteren, f.eks. Memcached -U 0, som forbyder lytting på udp-protokollen
Mer dokumentasjon om Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Hvis du har kjøpt Alibaba Cloud Shield Anknight, kan du fikse det i henhold til veiledningen på Anknight-konsollen.
For det andre, hvordan beskytte mot Memcachede DDoS-refleksjonsangrep
Det anbefales å optimalisere tjenestestrukturen og spre tjenesten over flere IP-adresser.
Memcached gjør det relativt enkelt å starte DDoS-angrep med høy trafikk, og forsvar mot Memcached-angrep krever tilstrekkelig båndbredde. Hvis du opplever et refleksjonsangrep med høy trafikk, kan du kjøpe en skyrensingstjeneste og anbefale en skyrensingstjeneste som filtrerer UDP-refleksjoner. Alibaba Cloud Anti-DDoS Pro har lansert UDP-blokkeringstjenester.
|
Publisert på 02.03.2018 09:40:24
|
|
|
Publisert på 02.03.2018 10:05:56
|
