Bu hafta, Alibaba Cloud Security DDoS İzleme Merkezi'nden alınan veriler, Memcached kullanılarak yapılan DDoS saldırılarının hızla kızdığını gösteriyor. Dün, Alibaba Cloud 758.6Gbps'e kadar trafikle Memcached DDoS yansıtma saldırısını başarıyla izledi ve savunma yaptı.
Aşağıda, UDP protokolü + kaynak portu 11211'in özelliklerinden hızla ayırt edilebilen Memcached yansıtıcı DDoS saldırısının paket yakalama örneği yer almaktadır.
Bu saldırıda, saldırgan mağdurun IP adresini sahte yapar ve Memcached'in İnternet üzerindeki hizmetlerine çok sayıda istek yapar ve Memcached bu taleplere yanıt verir. Çok sayıda yanıt paketi, sahte IP adresi kaynağına (yani mağdura) yakınlaştırılır ve yansıtıcı dağıtık hizmet reddetme saldırısı oluşturur.
Endişe şu ki, Memcached paketleri on binlerce kat artırabilir; yani geri dönen paket boyutu talebin on binlerce katı büyüklüğünde ve saldırganlar çok az bant genişliği kullanarak büyük trafikle DDoS saldırıları başlatabilir. NTP ve SSDP yansıma saldırıları genellikle sadece onlarca hatta yüzlerce kez güçlendirilebilir. Memcached amplifikasyonu, büyütmesi sayesinde DDoS saldırılarını yansıtır ve büyütme daha yıkıcı olabilir.
Saldırı duruşu
Memcached kullanılarak DDoS saldırı tekniklerinin duyurulmasıyla birlikte, DDoS'un Memcached'i yansıtma için kullanma girişimleri giderek artmaktadır ve bu tür DDoS saldırıları hızla artmaktadır.
Son zamanlarda, hackerlar dünya çapında sistimar edilebilecek MemcachedIP'yi taradı ve topladı ve çok sayıda geçici ultra yüksek trafikli Memcached DDoS saldırısı ortaya çıktı.
Şu anda internetteki yansıtma noktalarının sayısı ve zararı
Tüm İnternet, yüzbinlerce IP'nin Memcache yansıması için kullanılabilir ve saldırganlara devasa bir cephanelik sağlar.
Ultra büyük DDoS'u başlatmanın zorluğu azaldıkça, IDC'ler ve bulut servis sağlayıcıları savunma için daha fazla ağ bant genişliği ayırmak zorunda kalır ve küçük ve orta ölçekli IDC'lerin bu ultra büyük ölçekli DDoS saldırılarıyla başa çıkması zorlaşacaktır.
Şu anda Alibaba Cloud, Memcached güvenlik yapılandırma önerileri ve Anknight üzerinde onarım rehberliği sunarak bulut kullanıcılarının Memcached risklerini düzeltmelerine yardımcı olmaktadır. UDP yansıma engelleme hizmeti Anti-Pro IP'de sunulmaktadır.
(1) Memcached nedir?
Memcached, dinamik web uygulamalarında veritabanlarını boşaltmak için kullanılan yüksek performanslı dağıtık bellek içi nesne önbellek sistemidir. Verileri ve nesneleri bellekte önbelleğe alarak veritabanı okuma sayısını azaltır ve dinamik, veritabanı odaklı web sitelerinin hızını artırır.
(2) Memcached iş senaryosu nedir?
Web sitesi dinamik sayfalar ve çok fazla trafik içeriyorsa, veritabanındaki yük yüksek olur. Çoğu veritabanı talebi okuma işlemi olduğundan, yüksek okuma oranına sahip çoğu iş sistemi veritabanı okumalarını azaltmak için Memcached kullanır ve önbellekleme fonksiyonunun uygulanması veritabanı yükünü önemli ölçüde azaltabilir ve web sitesi performansını artırabilir.
(3) Memcached neden DDoS saldırılarını güçlendirmek için kullanılır?
- Memcache (1.5.6'dan önceki sürüm) varsayılan olarak UDP dinlediği için, yansıtma DDoS koşulunu doğal olarak karşılar
- Birçok kullanıcı, herhangi bir kaynak IP adresi tarafından istenebilen iptables kuralı yapılandırmadan 0.0.0.0 olarak hizmeti dinler.
- Memcached, on binlerce katı katını yansıtır; bu da paketlerin katını büyük trafiğe dönüştüren DDoS saldırılarına çok uygundur
Alibaba Cloud güvenlik uzmanlarının Memcached'i önlemek için iki önerisi var:
İlk olarak, Memcached reflektör olarak sömürülmekten nasıl kaçınılır:
Çalışan Memccached servisini kontrol etmek ve güçlendirmek, hackerların DDoS saldırıları başlatması nedeniyle gereksiz bant genişliği trafiğini önlemek için önerilir.
Memcached sürümünüz 1.5.6'dan daha küçükse ve UDP dinlemenize gerek yoksa. Memcached'i yeniden başlatarak -U 0 başlangıç parametresine katılabilirsiniz, örneğin, Memcached -U 0 ile UDP protokolünde dinleme yapmayı engelleyebilirsiniz
Daha fazla Memcached Servis Güvenliği Sertleştirme dokümantasyonu:
https://help.aliyun.com/knowledge_detail/37553.html
Alibaba Cloud Shield Anknight satın aldıysanız, Anknight konsolundaki rehberliğe göre düzeltebilirsiniz.
İkinci olarak, Memcached DDoS yansıma saldırılarına karşı nasıl korunabilirsin
Hizmet yapısının optimize edilmesi ve hizmetin birden fazla IP arasında dağıtılması önerilir.
Memcached, yüksek trafikli DDoS saldırılarını başlatmayı nispeten kolaylaştırır ve Memcached saldırılarına karşı savunma yeterli bant genişliği gerektirir. Yüksek trafikli bir yansıma saldırısı ile karşılaşırsanız, bir bulut temizleme hizmeti satın alabilir ve UDP yansımalarını filtreleyen bir bulut temizleme hizmeti önerebilirsiniz. Alibaba Cloud Anti-DDoS Pro, UDP engelleme hizmetlerini başlattı.
|
Yayınlandı 2.03.2018 09:40:24
|
|
|
Yayınlandı 2.03.2018 10:05:56
|
