Ta teden podatki iz Alibaba Cloud Security DDoS Monitoring Center kažejo, da se trend DDoS napadov z uporabo Memcached hitro zaostruje. Včeraj je Alibaba Cloud uspešno spremljal in se branil pred Memcached DDoS refleksijskim napadom s prometom do 758,6Gbps.
Sledi vzorec zajema paketov Memcached reflective DDoS napada, ki ga je mogoče hitro razlikovati od značilnosti UDP protokola + izvornega porta 11211.
Pri tem napadu napadalec ponaredi IP žrtve, da pošlje veliko število zahtevkov do storitev Memcached na internetu, ki jih je mogoče izkoristiti, Memcached pa na te zahteve odgovori. Veliko število odzivnih paketov se konvergira k ponarejenemu viru IP naslova (tj. k žrtvi) in tvori reflektivni distribuirani napad zavrnitve storitve.
Skrb je, da lahko Memcached pakete ojača desettisočkrat, torej je vrnjeni paket desettisočkrat večji od zahteve, napadalci pa lahko sprožijo DDoS napade z ogromnim prometom z zelo malo pasovne širine. NTP in SSDP refleksivni napadi se običajno lahko ojačajo le desetkrat do stokrat. Memcached amplifikacija odbija DDoS napade zaradi povečave, ki je lahko bolj uničujoča.
Napadalna drža
Z objavo tehnik DDoS napadov z uporabo Memcached se dogaja vse več DDoS poskusov uporabe Memcached za refleksijo, ta vrsta DDoS napadov pa hitro narašča.
V zadnjem času so hekerji pregledali in zbrali MemcachedIP, ki ga je mogoče izkoristiti po vsem svetu, in pojavilo se je veliko negotovih izjemno prometnih Memcached DDoS napadov.
Število in škoda refleksijskih točk na internetu danes
Celoten internet je mogoče uporabiti za Memcached odsev stotisočev IP-jev, kar napadalcem omogoča ogromno arzenal.
Ker se težavnost sprožitve ultra-velikih DDoS napadov zmanjšuje, morajo IDC-ji in ponudniki oblačnih storitev rezervirati več pasovne širine za obrambo, zato bo za male in srednje velike IDC-je težko obvladovati takšne ultra-velike DDoS napade.
Trenutno Alibaba Cloud ponuja priporočila za konfiguracijo varnosti v Memcached in nudi navodila za popravila Anknighta, da uporabnikom oblaka pomaga odpraviti tveganja v Memcached. Storitev blokiranja odboja UDP je na voljo v Anti-Pro IP.
(1) Kaj je Memcached?
Memcached je visokozmogljiv distribuirani sistem za predpomnjenje objektov v pomnilniku, ki se uporablja v dinamičnih spletnih aplikacijah za razbremenitev baz podatkov. Zmanjšuje število branj v bazi podatkov z predpomnjenjem podatkov in objektov v pomnilniku, s čimer izboljša hitrost dinamičnih, podatkovno vodenih spletnih strani.
(2) Kakšen je poslovni scenarij Memcached?
Če spletna stran vsebuje dinamične strani z veliko prometa, bo obremenitev baze podatkov velika. Ker je večina zahtev za bazo podatkov bralnih operacij, večina poslovnih sistemov z visokim številom branj uporablja Memcached za zmanjšanje števila branj baze, implementacija funkcije predpomnjenja pa lahko znatno zmanjša obremenitev baze podatkov in izboljša zmogljivost spletne strani.
(3) Zakaj se Memcached uporablja za ojačanje DDoS napadov?
- Ker Memcache (različica starejša od 1.5.6) privzeto posluša UDP, naravno izpolnjuje pogoj odbojnega DDoS
- Veliko uporabnikov posluša storitev v različici 0.0.0.0 brez nastavitve pravila iptables, ki ga lahko zahteva katerikoli izvorni IP naslov
- Memcached odraža desettisočekrat več kot večkratnik, kar je zelo ugodno za DDoS napade, ki povečajo večkratnik paketov v velik promet
Strokovnjaki za varnost v oblaku Alibaba imajo dva predloga, kako preprečiti Memcached:
Najprej, kako se izogniti izkoriščanju kot Memcached reflector:
Priporočljivo je, da preverite in utrdite delujočo storitev Memccached, da preprečite nepotreben promet pasovne širine, ki bi ga hekerji povzročili za izvajanje DDoS napadov.
Če je tvoja Memcached različica nižja od 1.5.6 in ti ni treba poslušati UDP. Memcached lahko ponovno zaženete, da se pridružite zagonskemu parametru -U 0, npr. Memcached -U 0, ki na protokolu udp prepoveduje poslušanje
Več dokumentacije o varnostnem utrjevanju storitev v Memcached:
https://help.aliyun.com/knowledge_detail/37553.html
Če ste kupili Alibaba Cloud Shield Anknight, ga lahko popravite glede na navodila na konzoli Anknight.
Drugič, kako se zaščititi pred Memcached DDoS refleksijskimi napadi
Priporočljivo je optimizirati strukturo storitev in storitev razporediti med več IP-jev.
Memcached omogoča razmeroma enostaven začetek DDoS napadov z velikim prometom, obramba pred Memcached napadi pa zahteva zadostno pasovno širino. Če naletite na napad z odbojem z visokim prometom, lahko kupite storitev čiščenja v oblaku in priporočite storitev čiščenja oblaka, ki filtrira odboje UDP. Alibaba Cloud Anti-DDoS Pro je lansiral storitve blokiranja UDP.
|
Objavljeno na 2. 03. 2018 09:40:24
|
|
|
Objavljeno na 2. 03. 2018 10:05:56
|
