Săptămâna aceasta, datele de la Alibaba Cloud Security DDoS Monitoring Center arată că tendința atacurilor DDoS care folosesc Memcached se intensifică rapid. Ieri, Alibaba Cloud a monitorizat și s-a apărat cu succes împotriva unui atac DDoS cu reflexie Memcached cu un trafic de până la 758,6Gbps.
Următorul este un eșantion de capturare a pachetelor al unui atac DDoS reflectiv Memcached, care poate fi rapid distins de caracteristicile protocolului UDP + portul sursă 11211.
În acest atac, atacatorul falsifică IP-ul victimei pentru a face un număr mare de cereri către serviciile Memcached de pe Internet care pot fi exploatate, iar Memcached răspunde la cereri. Un număr mare de pachete de răspuns sunt convergente către sursa adresei IP falsificate (adică victima) pentru a forma un atac reflectiv distribuit de tip denial-of-service.
Îngrijorarea este că Memcached poate amplifica pachetele de zeci de mii de ori, adică dimensiunea pachetului returnat este de zeci de mii de ori mai mare decât cererea, iar atacatorii pot lansa atacuri DDoS cu trafic uriaș folosind foarte puțină lățime de bandă. Atacurile de reflexie NTP și SSDP pot fi, în general, amplificate doar de zeci până la sute de ori. Amplificarea memcached reflectă atacurile DDoS datorită măririi, care poate fi mai distructivă.
Postura de atac
Odată cu promovarea tehnicilor de atac DDoS folosind Memcached, apar tot mai multe încercări DDoS de a folosi Memcached pentru reflexie, iar acest tip de atac DDoS este în creștere rapidă.
Recent, hackerii au scanat și colectat MemcachedIP care poate fi exploatat în întreaga lume, iar un număr mare de atacuri DDoS cu trafic extrem de mare au apărut.
Numărul și prejudiciul punctelor de reflecție de pe Internet în prezent
Întregul Internet poate fi folosit pentru reflexia Memcached a sute de mii de IP-uri, oferind atacatorilor un arsenal masiv.
Pe măsură ce dificultatea inițierii DDoS ultra-mari scade, IDC-urile și furnizorii de servicii cloud trebuie să rezerve mai multă lățime de bandă de rețea pentru apărare, iar IDC-urile mici și mijlocii vor face față unor astfel de atacuri DDoS la scară ultra-mare.
În prezent, Alibaba Cloud oferă recomandări de configurare a securității Memcached și oferă îndrumări pentru reparații pe Anknight pentru a ajuta utilizatorii cloud să corecteze riscurile Memcached. Serviciul de blocare a reflexiei UDP este oferit în Anti-Pro IP.
(1) Ce este Memcached?
Memcached este un sistem de stocare a obiectelor distribuite în memorie de înaltă performanță, folosit în aplicații web dinamice pentru descărcarea bazelor de date. Reduce numărul de citiri ale bazei de date prin stocarea în cache a datelor și obiectelor în memorie, îmbunătățind viteza site-urilor dinamice, bazate pe baze de date.
(2) Care este scenariul de afaceri Memcached?
Dacă site-ul conține pagini dinamice cu mult trafic, încărcarea bazei de date va fi mare. Deoarece majoritatea cererilor de bază de date sunt operațiuni de citire, majoritatea sistemelor de business cu citiri ridicate folosesc Memcached pentru a reduce citirile bazei de date, iar implementarea funcției de cache poate reduce semnificativ încărcarea bazei de date și îmbunătăți performanța site-ului.
(3) De ce este folosit Memcached pentru a amplifica atacurile DDoS?
- Deoarece Memcache (versiunea anterioară 1.5.6) ascultă UDP implicit, acesta îndeplinește în mod natural condiția DDoS de reflexie
- Mulți utilizatori ascultă serviciul la 0.0.0.0 fără a configura regula iptables, care poate fi solicitată de orice adresă IP sursă
- Memcached reflectă de zeci de mii de ori mai mult, ceea ce este foarte favorabil atacurilor DDoS care amplifică multiplul de pachete într-un trafic mare
Experții în securitate Alibaba Cloud au două sugestii despre cum să previi Memcached:
În primul rând, cum să eviți să fii exploatat ca reflector Memcached:
Se recomandă verificarea și consolidarea serviciului Memccached în rulare pentru a preveni traficul inutil de lățime de bandă cauzat de hackeri care să lanseze atacuri DDoS.
Dacă versiunea ta Memcached este mai mică decât 1.5.6 și nu trebuie să asculți UDP. Poți reporni Memcached pentru a se alătura parametrului de pornire -U 0, de exemplu, Memcached -U 0, care interzice ascultarea pe protocolul udp
Mai multă documentație despre consolidarea securității serviciilor Memcached:
https://help.aliyun.com/knowledge_detail/37553.html
Dacă ai cumpărat Alibaba Cloud Shield Anknight, îl poți repara conform instrucțiunilor de pe consola Anknight.
În al doilea rând, cum să te protejezi împotriva atacurilor DDoS cu reflexie Memcached
Se recomandă optimizarea structurii serviciului și dispersarea serviciului pe mai multe IP-uri.
Memcached face relativ ușoară lansarea atacurilor DDoS cu trafic mare, iar apărarea împotriva atacurilor Memcached necesită o lățime de bandă suficientă. Dacă întâmpini un atac de reflexie cu trafic ridicat, poți achiziționa un serviciu de curățare a cloud-ului și recomanda un serviciu de curățare a cloud-ului care filtrează reflexiile UDP. Alibaba Cloud Anti-DDoS Pro a lansat servicii de blocare UDP.
|
Postat pe 02.03.2018 09:40:24
|
|
|
Postat pe 02.03.2018 10:05:56
|
