Esta semana, dados do Centro de Monitoramento DDoS de Segurança em Nuvem Alibaba mostram que a tendência de ataques DDoS usando Memcached está esquentando rapidamente. Ontem, a Alibaba Cloud monitorou e defendeu com sucesso contra um ataque de reflexão DDoS com Memcached com tráfego de até 758,6Gbps.
A seguir está uma amostra de captura de pacotes de um ataque DDoS reflexivo Memcached, que pode ser rapidamente distinguida das características do protocolo UDP + porta de origem 11211.
Nesse ataque, o atacante falsifica o IP da vítima para fazer um grande número de requisições para os serviços do Memcached na Internet que podem ser exploradas, e o Memcached responde às solicitações. Um grande número de pacotes de resposta é convergido para a fonte do endereço IP forjado (ou seja, a vítima) para formar um ataque de negação de serviço distribuído reflexivo.
A preocupação é que o Memcached pode amplificar pacotes dezenas de milhares de vezes, ou seja, o tamanho do pacote retornado é dezenas de milhares de vezes maior que o da solicitação, e atacantes podem lançar ataques DDoS com tráfego enorme usando muito pouca largura de banda. Ataques de reflexão NTP e SSDP geralmente só podem ser amplificados de dezenas a centenas de vezes. A amplificação com memcache reflete ataques DDoS por causa de sua ampliação, que pode ser mais destrutiva.
Postura de ataque
Com a divulgação de técnicas de ataque DDoS usando Memcached, cada vez mais tentativas de DDoS de usar Memcached para reflexão estão ocorrendo, e esse tipo de ataque DDoS está crescendo rapidamente.
Recentemente, hackers escanearam e coletaram MemcachedIP que pode ser explorada ao redor do mundo, e um grande número de ataques DDoS Memcached de alto tráfego e muito provisório surgiu.
O número e o dano dos pontos de reflexão atualmente na Internet
Toda a Internet pode ser usada para reflexão Memcached de centenas de milhares de IPs, fornecendo aos atacantes um arsenal massivo.
À medida que a dificuldade de iniciar DDoS ultra-grandes diminui, IDCs e provedores de serviços em nuvem precisam reservar mais largura de banda de rede para defesa, e será difícil para IDCs pequenos e médios lidarem com ataques DDoS em escala ultra-grande.
Atualmente, o Alibaba Cloud fornece recomendações de configuração de segurança do Memcached e orientações de reparo no Anknight para ajudar usuários da nuvem a corrigir riscos do Memcached. O serviço de bloqueio de reflexão UDP é fornecido no IP Anti-Pro.
(1) O que é Memcached?
Memcached é um sistema distribuído de cache de objetos em memória de alto desempenho usado em aplicações web dinâmicas para descarregar bancos de dados. Ele reduz o número de leituras de banco de dados ao armazenar dados e objetos em cache na memória, melhorando a velocidade de sites dinâmicos e orientados por banco de dados.
(2) Qual é o cenário de negócios Memcached?
Se o site contiver páginas dinâmicas com muito tráfego, a carga no banco de dados será alta. Como a maioria das requisições de banco de dados são operações de leitura, a maioria dos sistemas empresariais com leituras altas utiliza o Memcached para reduzir as leituras do banco de dados, e a implementação da função de cache pode reduzir significativamente a carga do banco de dados e melhorar o desempenho do site.
(3) Por que o Memcached é usado para amplificar ataques DDoS?
- Como o Memcache (versão anterior à 1.5.6) ouve UDP por padrão, ele naturalmente satisfaz a condição DDoS de reflexão
- Muitos usuários ouvem o serviço em 0.0.0.0 sem configurar a regra iptables, que pode ser solicitada por qualquer endereço IP de origem
- Memcached reflete dezenas de milhares de vezes o múltiplo, o que é muito propício a ataques DDoS que amplificam o múltiplo de pacotes em grande tráfego
Especialistas em segurança em nuvem do Alibaba têm duas sugestões de como evitar o Memcached:
Primeiro, como evitar ser explorado como um refletor Memcached:
Recomenda-se verificar e reforçar o serviço Memccached em execução para evitar tráfego desnecessário de largura de banda causado por hackers que iniciam ataques DDoS.
Se sua versão com Memcached for inferior à 1.5.6 e você não precisa ouvir UDP. Você pode reiniciar o Memcached para se juntar ao parâmetro de início -U 0, por exemplo, Memcached -U 0, que proíbe a escuta no protocolo udp
Mais documentação sobre Reforço de Segurança de Serviço Memcached:
https://help.aliyun.com/knowledge_detail/37553.html
Se você comprou o Alibaba Cloud Shield Anknight, pode consertá-lo conforme as orientações do console Anknight.
Segundo, como proteger contra ataques de reflexão DDoS com Memcached
Recomenda-se otimizar a estrutura do serviço e dispersar o serviço entre múltiplos IPs.
O Memcached facilita relativamente o lançamento de ataques DDoS de alto tráfego, e defender-se contra ataques do Memcached requer largura de banda suficiente. Se você encontrar um ataque de reflexão de alto tráfego, pode adquirir um serviço de limpeza de nuvem e recomendar um serviço que filtre reflexos UDP. A Alibaba Cloud Anti-DDoS Pro lançou serviços de bloqueio de UDP.
|
Publicado em 02/03/2018 09:40:24
|
|
|
Publicado em 02/03/2018 10:05:56
|
