На этой неделе данные Центра мониторинга DDoS безопасности Alibaba Cloud показывают, что тенденция DDoS-атак с использованием Memcached быстро набирает обороты. Вчера Alibaba Cloud успешно провела мониторинг и защиту от отражения DDoS-атаки Memcached с трафиком до 758,6 Гбит/с.
Ниже приведён образец захвата пакетов при отражающей DDoS-атаке Memcached, который можно быстро отличить от характеристик протокола UDP + исходного порта 11211.
В этой атаке злоумышленник подделывает IP жертвы, чтобы сделать большое количество запросов к сервисам Memcached в Интернете, которые могут быть использованы, и Memcached отвечает на эти запросы. Большое количество пакетов ответа конвергируется к поддельному источнику IP-адреса (то есть к жертве), формируя отражающую распределённую атаку отказа в обслуживании.
Проблема в том, что Memcached может усиливать пакеты в десятки тысяч раз, то есть возвращаемый пакет в десятки тысяч раз больше размера запроса, и злоумышленники могут запускать DDoS-атаки с огромным трафиком, используя очень мало пропускной способности. Отражение NTP и SSDP обычно можно усилить в десятки или сотни раз. Амплификация в мекэше отражает DDoS-атаки из-за своего увеличения, которое может быть более разрушительным.
Атакующая позиция
С распространением DDoS-атак с использованием Memcached всё больше DDoS-попыток использовать Memcached для отражения, и этот тип DDoS-атак быстро набирает популярность.
В последнее время хакеры просканировали и собрали MemcachedIP, которые могут быть использованы по всему миру, и появилось множество предварительных DDoS-атак с ультравысоким трафиком Memcached.
Количество и вред точек отражения в Интернете в настоящее время
Весь Интернет можно использовать для отражения сотен тысяч IP-адресов в Memcache, предоставляя злоумышленникам огромный арсенал.
По мере снижения сложности запуска ультра-крупных DDoS, IDC и облачные провайдеры должны резервировать больше сетевой пропускной способности для защиты, и малым и средним IDC будет сложно справляться с такими ультрамасштабными DDoS-атаками.
В настоящее время Alibaba Cloud предоставляет рекомендации по конфигурации безопасности Memcached и предоставляет рекомендации по ремонту Anknight, чтобы помочь облачным пользователям устранить риски Memcached. Сервис блокировки отражения UDP предоставляется в IP-адресе Anti-Pro.
(1) Что такое Memcached?
Memcached — это высокопроизводительная распределённая система кэширования объектов в памяти, используемая в динамических веб-приложениях для разгрузки баз данных. Он сокращает количество чтений базы данных за счёт кэширования данных и объектов в памяти, повышая скорость работы динамичных сайтов, управляемых базами данных.
(2) Каков бизнес-сценарий Memcached?
Если на сайте есть динамические страницы с большим трафиком, нагрузка на базу данных будет высокой. Поскольку большинство запросов базы данных связаны с операциями чтения, большинство бизнес-систем с высоким уровнем чтения используют Memcached для снижения числа чтений базы данных, а внедрение функции кэширования может значительно снизить нагрузку на базу данных и повысить производительность сайта.
(3) Почему Memcached используется для усиления DDoS-атак?
- Поскольку Memcache (версия раньше 1.5.6) по умолчанию слушает UDP, он естественным образом удовлетворяет условию отражения DDoS
- Многие пользователи слушают сервис в версии 0.0.0.0 без настройки правила iptables, которое может быть запрошено с любого IP-адреса источника
- Memcached отражает в десятки тысяч раз больше мультипликатора, что очень благоприятно для DDoS-атак, усиливающих кратность пакетов в большой трафик
Эксперты по безопасности Alibaba Cloud имеют два совета, как предотвратить Memcached:
Во-первых, как избежать использования в качестве отражателя Memcached:
Рекомендуется проверить и упрочнить действующий сервис Memccached, чтобы предотвратить ненужный трафик, вызванный хакерами для запуска DDoS-атак.
Если ваша версия Memcached ниже 1.5.6 и вам не нужно слушать UDP. Вы можете перезапустить Memcached, чтобы присоединиться к стартовому параметру -U 0, например, Memcached -U 0, который запрещает прослушивание на протоколе udp
Больше документации по усилению безопасности сервисов Memcached:
https://help.aliyun.com/knowledge_detail/37553.html
Если вы приобрели Alibaba Cloud Shield Anknight, вы можете исправить это согласно инструкциям на консоли Anknight.
Во-вторых, как защититься от отражательных атак Memcached DDoS
Рекомендуется оптимизировать структуру сервиса и распределять сервис между несколькими IP-адресами.
Memcached делает запуск DDoS-атак с большим трафиком относительно простым, а защита от атак Memcached требует достаточной пропускной способности. Если вы столкнётесь с атакой отражения с высоким трафиком, вы можете приобрести сервис очистки облака и порекомендовать сервис для фильтрации отражений в UDP. Alibaba Cloud Anti-DDoS Pro запустила сервисы блокировки UDP.
|
Опубликовано 02.03.2018 9:40:24
|
|
|
Опубликовано 02.03.2018 10:05:56
|
