Denna vecka visar data från Alibaba Cloud Security DDoS Monitoring Center att trenden med DDoS-attacker med Memcached snabbt tilltar. Igår övervakade och försvarade Alibaba Cloud framgångsrikt mot en Memcached DDoS-reflektionsattack med en trafik på upp till 758,6 Gbps.
Följande är ett paketfångstexempel av en Memcached reflekterande DDoS-attack, som snabbt kan särskiljas från egenskaperna hos UDP-protokoll + källport 11211.
I denna attack förfalskar angriparen offrets IP för att göra ett stort antal förfrågningar till Memcacheds tjänster på Internet som kan utnyttjas, och Memcached svarar på förfrågningarna. Ett stort antal svarspaket konvergeras till den förfalskade IP-adresskällan (dvs. offret) för att bilda en reflekterande distribuerad överbelastningsattack.
Oro är att Memcached kan förstärka paket tiotusentals gånger, det vill säga att den returnerade paketstorleken är tiotusentals gånger större än begäran, och angripare kan starta DDoS-attacker med enorm trafik och använder mycket lite bandbredd. NTP- och SSDP-reflektionsattacker kan i allmänhet bara förstärkas tiotals till hundratals gånger. Memcached förstärkning speglar DDoS-attacker tack vare dess förstoring, som kan vara mer destruktiv.
Anfallshållning
Med spridningen av DDoS-attacktekniker med Memcached sker fler och fler DDoS-försök att använda Memcached för reflektion, och denna typ av DDoS-attacker ökar snabbt.
Nyligen har hackare skannat och samlat in MemcachedIP som kan utnyttjas runt om i världen, och ett stort antal preliminära, ultrahögtrafikerade Memcached DDoS-attacker har dykt upp.
Antalet och skadan på reflektionspunkter på internet just nu
Hela Internet kan användas för Memcache-reflektion av hundratusentals IP-adresser, vilket ger angripare ett enormt arsenal.
När svårigheten att initiera ultrastora DDoS minskar behöver IDC:er och molntjänstleverantörer reservera mer nätverksbandbredd för försvar, och det kommer att bli svårt för små och medelstora IDC:er att hantera sådana ultrastorskaliga DDoS-attacker.
För närvarande tillhandahåller Alibaba Cloud rekommendationer om Memcached säkerhetskonfiguration och ger reparationsguider på Anknight för att hjälpa molnanvändare att åtgärda Memcache-risker. UDP:s reflektionsblockeringstjänst tillhandahålls i Anti-Pro IP.
(1) Vad är Memcached?
Memcached är ett högpresterande distribuerat objektcachesystem i minnet som används i dynamiska webbapplikationer för att avlasta databaser. Det minskar antalet databasläsningar genom att cache data och objekt i minnet, vilket förbättrar hastigheten på dynamiska, databasdrivna webbplatser.
(2) Vad är affärsscenariot med Memcache?
Om webbplatsen innehåller dynamiska sidor med mycket trafik kommer belastningen på databasen att vara hög. Eftersom de flesta databasförfrågningar är läsoperationer använder de flesta affärssystem med höga läsningar Memcached för att minska databasläsningar, och implementeringen av cachefunktionen kan avsevärt minska databasbelastningen och förbättra webbplatsens prestanda.
(3) Varför används Memcached för att förstärka DDoS-attacker?
- Eftersom Memcache (version tidigare än 1.5.6) lyssnar på UDP som standard, uppfyller den naturligt reflektionsvillkoret DDoS
- Många användare lyssnar på tjänsten på 0.0.0.0 utan att konfigurera iptables-regeln, som kan begäras av vilken käll-IP-adress som helst
- Memcached speglar tiotusentals gånger multipeln, vilket är mycket gynnsamt för DDoS-attacker som förstärker multipeln av paket till stor trafik
Säkerhetsexperter för Alibaba Cloud har två förslag på hur man kan förhindra Memcached:
Först, hur man undviker att utnyttjas som en Memcached reflektor:
Det rekommenderas att kontrollera och härda den körande Memccached-tjänsten för att förhindra onödig bandbreddstrafik orsakad av hackare som kan starta DDoS-attacker.
Om din Memcache-version är lägre än 1.5.6 och du inte behöver lyssna på UDP. Du kan starta om Memcached för att ansluta till startparametern -U 0, t.ex. Memcached -U 0, som förbjuder att lyssna på udp-protokollet
Mer dokumentation om Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Om du har köpt Alibaba Cloud Shield Anknight kan du fixa det enligt instruktionerna på Anknight-konsolen.
För det andra, hur man skyddar sig mot Memcache-DDoS-reflektionsattacker
Det rekommenderas att optimera tjänstestrukturen och sprida ut tjänsten över flera IP-adresser.
Memcached gör det relativt enkelt att starta högtrafikerade DDoS-attacker, och försvar mot Memcache-attacker kräver tillräcklig bandbredd. Om du stöter på en attack med hög trafik kan du köpa en molnrensningstjänst och rekommendera en molnrensningstjänst som filtrerar UDP-reflektioner. Alibaba Cloud Anti-DDoS Pro har lanserat UDP-blockeringstjänster.
|
Publicerad på 2018-03-02 09:40:24
|
|
|
Publicerad på 2018-03-02 10:05:56
|
