|
|
Zverejnené 2. 3. 2018 9:40:24
|
|
|
Tento týždeň údaje z Alibaba Cloud Security DDoS Monitoring Center ukazujú, že trend DDoS útokov využívajúcich Memcached sa rýchlo stupňuje. Včera Alibaba Cloud úspešne monitorovala a bránila sa proti Memcached DDoS odrazovému útoku s prevádzkou až 758,6 Gbps.
Nasleduje vzorka zachytenia paketov Memcached reflexného DDoS útoku, ktorú možno rýchlo odlíšiť od charakteristík UDP protokolu + zdrojového portu 11211.
Pri tomto útoku útočník sfalšuje IP obete, aby vykonal veľké množstvo požiadaviek na služby Memcached na internete, ktoré môžu byť zneužité, a Memcached na tieto požiadavky reaguje. Veľké množstvo odpovedajúcich paketov sa konverguje k sfalšovanému zdroju IP adresy (t. j. obeti), čím vzniká reflexívny distribuovaný útok odmietnutia služby.
Obava spočíva v tom, že Memcached dokáže zosilniť pakety desaťtisíckrát, teda veľkosť vráteného paketu je desaťtisíckrát väčšia ako požiadavka, a útočníci môžu spustiť DDoS útoky s obrovskou prevádzkou s veľmi malou šírkou pásma. NTP a SSDP reflexné útoky môžu byť zvyčajne zosilnené len desiatkami až stovkami násobkov. Memcached amplifikácia odráža DDoS útoky vďaka svojmu zväčšeniu, ktoré môže byť deštruktívnejšie.
Útočná pozícia
S propagáciou techník DDoS útokov využívajúcich Memcached sa čoraz viac DDoS pokusov použiť Memcached na reflexiu a tento typ DDoS útokov rýchlo rastie.
Nedávno hackeri prehľadali a zbierali MemcachedIP, ktoré je možné zneužiť po celom svete, a objavilo sa veľké množstvo predbežných DDoS útokov s ultra-vysokou prevádzkou v Memcache.
Počet a škodlivosť reflektorických bodov na internete v súčasnosti
Celý internet môže byť využitý na Memcached odrážanie stoviek tisíc IP adres, čo útočníkom poskytuje obrovský arzenál.
Ako sa znižuje náročnosť iniciácie ultra-veľkých DDoS, IDC a poskytovatelia cloudových služieb musia vyhradiť viac sieťovej šírky pásma na obranu a pre malé a stredné IDC bude ťažké zvládnuť takéto ultra-veľké DDoS útoky.
V súčasnosti Alibaba Cloud poskytuje odporúčania na konfiguráciu bezpečnosti v Memcached a poskytuje rady k opravám Anknight, aby pomohol používateľom cloudu odstrániť riziká z Memcached. Služba blokovania odrazov UDP je poskytovaná v Anti-Pro IP.
(1) Čo je to Memcached?
Memcached je vysokovýkonný distribuovaný systém cacheovania objektov v pamäti, ktorý sa používa v dynamických webových aplikáciách na odľahčenie databáz. Znižuje počet čítaní databázy ukladaním dát a objektov do pamäte, čím zlepšuje rýchlosť dynamických, databázami riadených webových stránok.
(2) Aký je obchodný scenár Memcached?
Ak webová stránka obsahuje dynamické stránky s veľkou návštevnosťou, zaťaženie databázy bude vysoké. Keďže väčšina databázových požiadaviek sú čítacie operácie, väčšina podnikových systémov s vysokým počtom čítaní používa Memcached na zníženie počtu čítaní databázy a implementácia funkcie cache môže výrazne znížiť záťaž databázy a zlepšiť výkon webu.
(3) Prečo sa Memcached používa na zosilnenie DDoS útokov?
- Keďže Memcache (verzia staršia ako 1.5.6) štandardne počúva UDP, prirodzene spĺňa podmienku reflexného DDoS
- Mnohí používatelia počúvajú službu na 0.0.0.0 bez nutnosti konfigurovať pravidlo iptables, ktoré môže byť požadované z akejkoľvek zdrojovej IP adresy
- Memcached odráža desaťtisíckrát násobok, čo je veľmi vhodné pre DDoS útoky, ktoré zosilňujú násobok paketov do veľkej prevádzky
Odborníci na bezpečnosť Alibaba Cloud majú dva návrhy, ako zabrániť Memcached:
Najprv, ako sa vyhnúť zneužitiu ako Memcached reflektor:
Odporúča sa skontrolovať a opevniť bežiacu službu Memccached, aby sa zabránilo zbytočnej prenosovej prevádzke spôsobenej hackermi pri spustení DDoS útokov.
Ak je tvoja verzia v Memcache nižšia ako 1.5.6 a nepotrebuješ počúvať UDP. Memcached môžete reštartovať, aby ste sa pripojili k počiatočnému parametru -U 0, napríklad Memcached -U 0, ktorý zakazuje počúvanie na protokole udp
Viac dokumentácie k Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Ak ste si kúpili Alibaba Cloud Shield Anknight, môžete to opraviť podľa návodu na konzole Anknight.
Po druhé, ako sa chrániť pred Memcached DDoS odrazovými útokmi
Odporúča sa optimalizovať štruktúru služby a rozmiestniť službu medzi viacerými IP adresami.
Memcached umožňuje relatívne jednoduché spustiť DDoS útoky s vysokou premávkou a obrana proti Memcached útokom vyžaduje dostatočnú šírku pásma. Ak narazíte na útok odrazov s vysokou návštevnosťou, môžete si zakúpiť cloudovú čistiacu službu a odporučiť cloudovú čistiacu službu, ktorá filtruje UDP odrazy. Alibaba Cloud Anti-DDoS Pro spustila služby blokovania UDP.
|
Predchádzajúci:Rád pozerám kino, zdrojový kód e4a nie je zdieľaný zadarmoBudúci:dumpbin na zobrazenie funkcií dynamickej knižnice DLL
|
Zverejnené 2. 3. 2018 10:05:56
|
