|
|
Opublikowano 02.03.2018 09:40:24
|
|
|
W tym tygodniu dane z Alibaba Cloud Security DDoS Monitoring Center pokazują, że trend ataków DDoS z wykorzystaniem Memcached szybko się zaostrza. Wczoraj Alibaba Cloud skutecznie monitorowała i obroniła się przed atakiem odbiciowym DDoS w pamięci pamięci Memcached z ruchem do 758,6Gbps.
Poniżej znajduje się próbka przechwytywania pakietów ataku DDoS z pamięci podręcznej pamięci podręcznej, którą można szybko odróżnić od charakterystyki protokołu UDP + portu źródłowego 11211.
W tym ataku atakujący fałszuje adres IP ofiary, aby wykonać dużą liczbę żądań do usług Memcached w Internecie, które mogą zostać wykorzystane, a Memcached odpowiada na te żądania. Duża liczba pakietów odpowiedzi jest zbieżna do sfałszowanego źródła adresu IP (czyli ofiary), tworząc refleksyjny rozproszony atak typu denial-of-service.
Obawa polega na tym, że Memcached może wzmacniać pakiety dziesiątki tysięcy razy, czyli zwrócony pakiet jest dziesiątki tysięcy razy większy niż żądanie, a atakujący mogą przeprowadzać ataki DDoS z ogromnym ruchem, używając bardzo ograniczonej przepustowości. Ataki odbicia NTP i SSDP mogą być zazwyczaj wzmacniane tylko dziesiątki do setek razy. Wzmocnienie pamięci odzwierciedla ataki DDoS dzięki powiększeniu, które może być bardziej destrukcyjne.
Postawa ataku
Wraz z nagłośnianiem technik ataków DDoS z wykorzystaniem Memcached, coraz więcej prób DDoS używania Memcached do odbicia, a tego typu ataki DDoS szybko rosną.
Ostatnio hakerzy zeskanowali i zebrali MemcachedIP, które można wykorzystać na całym świecie, a także pojawiła się duża liczba nieśmiałych ultra-dużych ruchowych ataków Memcached DDoS.
Liczba i szkody punktów refleksji w Internecie obecnie
Cały Internet może być wykorzystywany do pamięci pamięciowej setek tysięcy adresów IP, zapewniając atakującym ogromny arsenał.
W miarę jak trudność inicjowania ultradużych DDoS maleje, IDC i dostawcy usług chmurowych muszą zarezerwować więcej przepustowości sieci na obronę, a małym i średnim IDC będzie trudno poradzić sobie z takimi ultra-skalowymi atakami DDoS.
Obecnie Alibaba Cloud dostarcza rekomendacje konfiguracji zabezpieczeń z pamięci podręcznej oraz udziela wskazówek naprawczych Anknight, aby pomóc użytkownikom chmury naprawić ryzyka związane z pamięcią podręczną. Usługa blokowania odbić UDP jest dostępna w IP-Anti-Pro.
(1) Czym jest Memcached?
Memcached to wysokowydajny, rozproszony system buforowania obiektów w pamięci, stosowany w dynamicznych aplikacjach internetowych do odciążania baz danych. Zmniejsza liczbę odczytów bazy danych poprzez buforowanie danych i obiektów w pamięci, poprawiając szybkość dynamicznych stron internetowych opartych na bazie danych.
(2) Jaki jest scenariusz biznesowy Memcached?
Jeśli strona zawiera dynamiczne strony z dużym ruchem, obciążenie bazy danych będzie duże. Ponieważ większość żądań bazy danych to operacje odczytu, większość systemów biznesowych o wysokiej liczbie odczytów wykorzystuje Memcached do redukcji odczytów bazy danych, a wdrożenie funkcji buforowania może znacząco zmniejszyć obciążenie bazy danych i poprawić wydajność strony.
(3) Dlaczego Memcached jest używany do wzmacniania ataków DDoS?
- Ponieważ Memcache (wersja wcześniejsza niż 1.5.6) domyślnie słucha UDP, naturalnie spełnia warunek odbicia DDoS
- Wielu użytkowników słucha usługi w wersji 0.0.0.0 bez konieczności konfigurowania reguły iptables, którą można żądać z dowolnego adresu IP źródłowego
- Memcached odbija dziesiątki tysięcy razy więcej niż mnoga, co bardzo sprzyja atakom DDoS, które wzmacniają wielokrotność pakietów w duży ruch
Eksperci ds. bezpieczeństwa chmury Alibaba mają dwie sugestie, jak zapobiegać pamięćowaniu cache:
Po pierwsze, jak uniknąć wykorzystania jako reflektor z pamięci podręcznej:
Zaleca się sprawdzanie i zabezpieczanie działającej usługi Memccached, aby zapobiec niepotrzebnemu ruchowi o przepustowości spowodowanemu przez hakerów w celu przeprowadzenia ataków DDoS.
Jeśli twoja wersja w pamięci podręcznej jest niższa niż 1.5.6 i nie musisz słuchać UDP. Możesz ponownie uruchomić Memcached, aby dołączyć do parametru startowego -U 0, np. Memcached -U 0, który zabrania słuchania na protokole udp
Więcej dokumentacji Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Jeśli kupiłeś Alibaba Cloud Shield Anknight, możesz to poprawić zgodnie z instrukcjami na konsoli Anknight.
Po drugie, jak chronić się przed atakami odbiciowymi DDoS w pamięci pamięci
Zaleca się optymalizację struktury usług i rozproszenie usługi na wiele adresów IP.
Memcached ułatwia przeprowadzanie ataków DDoS o dużym ruchu, a obrona przed atakami Memcached wymaga odpowiedniej przepustowości. Jeśli napotkasz atak odbicia o dużym ruchu, możesz kupić usługę czyszczenia w chmurze i polecić taką, która filtruje odbicia UDP. Alibaba Cloud Anti-DDoS Pro uruchomiła usługi blokowania UDP.
|
Poprzedni:Uwielbiam oglądać kino, kod źródłowy e4a nie jest udostępniany za darmoNastępny:dumpbin, aby zobaczyć funkcje dynamicznego interfejsu biblioteki DLL
|
Opublikowano 02.03.2018 10:05:56
|
