Deze week tonen gegevens van het Alibaba Cloud Security DDoS Monitoring Center aan dat de trend van DDoS-aanvallen met Memcached snel toeneemt. Gisteren heeft Alibaba Cloud met succes een Memcached DDoS-reflectie-aanval gemonitord en verdedigd tegen een verkeer tot 758,6 Gbps.
Het volgende is een pakketvangstvoorbeeld van een Memcached reflectieve DDoS-aanval, die snel te onderscheiden is van de kenmerken van UDP-protocol + bronpoort 11211.
Bij deze aanval vervalst de aanvaller het IP-adres van het slachtoffer om een groot aantal verzoeken te doen aan Memcached-diensten op het internet die kunnen worden misbruikt, en Memcached reageert op deze verzoeken. Een groot aantal responspakketten wordt samengebracht naar de vervalste IP-adresbron (d.w.z. het slachtoffer) om een reflectieve gedistribueerde denial-of-service-aanval te vormen.
De zorg is dat Memcached pakketten tienduizenden keren kan versterken, dat wil zeggen, de teruggestuurde pakketgrootte is tienduizenden keren groter dan het verzoek, en aanvallers kunnen DDoS-aanvallen uitvoeren met enorm veel verkeer en zeer weinig bandbreedte. NTP- en SSDP-reflectieaanvallen kunnen over het algemeen slechts tientallen tot honderden keren worden versterkt. Memcached versterking weerspiegelt DDoS-aanvallen vanwege de vergroting, die destructiever kan zijn.
Aanvalshouding
Met de bekendmaking van DDoS-aanvalstechnieken met Memcached vinden steeds meer DDoS-pogingen plaats om Memcached te gebruiken voor reflectie, en dit type DDoS-aanvallen neemt snel toe.
Onlangs hebben hackers MemcachedIP gescand en verzameld die wereldwijd kunnen worden misbruikt, en er zijn een groot aantal voorlopige ultra-hoogverkeers-Memcached DDoS-aanvallen opgedoken.
Het aantal en de schade van reflectiepunten op het internet op dit moment
Het hele internet kan worden gebruikt voor Memcache-weergave van honderdduizenden IP's, waardoor aanvallers een enorm arsenaal hebben.
Naarmate de moeilijkheid om ultra-grote DDoS te starten afneemt, moeten IDC's en cloudserviceproviders meer netwerkbandbreedte reserveren voor verdediging, en het zal moeilijk zijn voor kleine en middelgrote IDC's om met zulke ultra-grootschalige DDoS-aanvallen om te gaan.
Momenteel biedt Alibaba Cloud aanbevelingen voor beveiligingsconfiguraties met Memcached en reparatie-instructies op Anknight om cloudgebruikers te helpen Memcached-risico's op te lossen. De UDP reflectieblokkeringsdienst wordt geleverd in de Anti-Pro IP.
(1) Wat is Memcached?
Memcached is een high-performance gedistribueerd in-memory object cachingsysteem dat wordt gebruikt in dynamische webapplicaties om databases te overlasten. Het vermindert het aantal databaselezingen door data en objecten in het geheugen te cachen, waardoor de snelheid van dynamische, databasegestuurde websites verbetert.
(2) Wat is het Memcached-bedrijfsscenario?
Als de website dynamische pagina's bevat met veel verkeer, zal de belasting op de database hoog zijn. Omdat de meeste databaseverzoeken leesoperaties zijn, gebruiken de meeste bedrijfssystemen met veel leesopdrachten Memcached om databaselezingen te verminderen, en de implementatie van de cachingfunctie kan de databasebelasting aanzienlijk verminderen en de prestaties van de website verbeteren.
(3) Waarom wordt Memcached gebruikt om DDoS-aanvallen te versterken?
- Omdat Memcache (versie eerder dan 1.5.6) standaard naar UDP luistert, voldoet het vanzelfsprekend aan de reflectie-DDoS-voorwaarde
- Veel gebruikers luisteren naar de dienst op 0.0.0.0 zonder de iptables-regel te configureren, die kan worden opgevraagd via elk bron-IP-adres
- Memcached weerspiegelt tienduizenden keren de veelvoud van de multipel, wat zeer bevorderlijk is voor DDoS-aanvallen die de veelvoud van pakketten versterken in groot verkeer
De beveiligingsexperts van Alibaba Cloud hebben twee suggesties om Memcached te voorkomen:
Ten eerste, hoe je voorkomt dat je wordt misbruikt als een Memcached reflector:
Het wordt aanbevolen om de draaiende Memccached-dienst te controleren en te versterken om onnodig bandbreedteverkeer veroorzaakt door hackers die DDoS-aanvallen uitvoeren, te voorkomen.
Als je Memcached-versie lager is dan 1.5.6 en je hoeft niet naar UDP te luisteren. Je kunt Memcached opnieuw opstarten om de -U 0 opstartparameter te joinen, bijvoorbeeld Memcached -U 0, die luisteren op het udp-protocol verbiedt
Meer documentatie over Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Als je Alibaba Cloud Shield Anknight hebt gekocht, kun je het repareren volgens de richtlijnen op de Anknight-console.
Ten tweede, hoe je je kunt beschermen tegen Memcached DDoS-reflectieaanvallen
Het wordt aanbevolen om de servicestructuur te optimaliseren en de dienst over meerdere IP's te verspreiden.
Memcached maakt het relatief eenvoudig om DDoS-aanvallen met veel verkeer te lanceren, en verdediging tegen Memcached-aanvallen vereist voldoende bandbreedte. Als je een aanval met veel verkeer tegenkomt, kun je een cloud cleaning-dienst aanschaffen en een cloud cleaning-service aanbevelen die UDP-reflecties filtert. Alibaba Cloud Anti-DDoS Pro heeft UDP-blokkeringsdiensten gelanceerd.
|
Geplaatst op 02-03-2018 09:40:24
|
|
|
Geplaatst op 02-03-2018 10:05:56
|
