Цього тижня дані з Центру моніторингу DDoS безпеки Alibaba Cloud показують, що тенденція DDoS-атак із використанням Memcached швидко зростає. Вчора Alibaba Cloud успішно відстежувала та захистилася від DDoS-атаки Memcached з трафіком до 758,6 Гбіт/с.
Нижче наведено зразок захоплення пакетів для Memcached reflective DDoS-атаки, яку можна швидко відрізнити від характеристик протоколу UDP + порт джерела 11211.
Під час цієї атаки зловмисник підробляє IP жертви, щоб зробити велику кількість запитів до сервісів Memcached в Інтернеті, які можна експлуатувати, і Memcached відповідає на ці запити. Велика кількість пакетів відповіді конвергується до підробленого джерела IP-адреси (тобто жертви), формуючи рефлексивну розподілену атаку відмови в обслуговуванні.
Проблема полягає в тому, що Memcached може посилювати пакети у десятки тисяч разів, тобто розмір поверненого пакета у десятки тисяч разів більший за розмір запиту, а зловмисники можуть запускати DDoS-атаки з величезним трафіком, використовуючи дуже обмежену пропускну здатність. Атаки відбиття NTP і SSDP зазвичай можуть посилюватися лише в десятки або сотні разів. Ампліфікація з мекешованим ефектом відображає DDoS-атаки через своє збільшення, яке може бути більш руйнівним.
Позиція атаки
З популяризацією DDoS-атак за допомогою Memcached все більше DDoS-спроб використовувати Memcached для відображення, і цей тип DDoS-атак стрімко набирає популярності.
Нещодавно хакери просканували та збирали MemcachedIP, які можна використовувати по всьому світу, і з'явилася велика кількість попередніх DDoS-атак з надвисоким трафіком Memcached.
Кількість і шкода точок рефлексії в Інтернеті сьогодні
Весь Інтернет можна використовувати для відображення сотень тисяч IP-адрес у Memcached, надаючи зловмисникам величезний арсенал.
Оскільки складність запуску надвеликих DDoS зменшується, IDC та хмарні провайдери повинні резервувати більше пропускної здатності мережі для захисту, і малим та середнім IDC буде важко впоратися з такими надмасштабними DDoS-атаками.
Наразі Alibaba Cloud надає рекомендації щодо конфігурації безпеки Memcached та рекомендації з ремонту Anknight, щоб допомогти користувачам хмари усувати ризики Memcached. Сервіс блокування відбиття UDP надається в IP-адресі Anti-Pro.
(1) Що таке Memcached?
Memcached — це високопродуктивна розподілена система кешування об'єктів у пам'яті, яка використовується в динамічних веб-застосунках для розвантаження баз даних. Він зменшує кількість читань бази даних шляхом кешування даних та об'єктів у пам'яті, покращуючи швидкість роботи динамічних вебсайтів, орієнтованих на базу даних.
(2) Який бізнес-сценарій Memcached?
Якщо на сайті є динамічні сторінки з великим трафіком, навантаження на базу даних буде великим. Оскільки більшість запитів баз даних — це операції з читанням, більшість бізнес-систем із високим обсягом читання використовують Memcached для зменшення кількості читань баз даних, а впровадження функції кешування може суттєво зменшити навантаження на базу даних і покращити продуктивність сайту.
(3) Чому Memcached використовується для посилення DDoS-атак?
- Оскільки Memcache (версія раніша за 1.5.6) за замовчуванням слухає UDP, він природно задовольняє умову відображення DDoS
- Багато користувачів слухають сервіс у версії 0.0.0.0 без налаштування правила iptables, яке може бути запитано будь-якою IP-адресою джерела
- Memcached відображає десятки тисяч разів більше, що дуже сприяє DDoS-атакам, які підсилюють множинність пакетів у великий трафік
Експерти з безпеки Alibaba Cloud мають дві рекомендації, як запобігти Memcached:
По-перше, як уникнути використання як рефлектора Memcached:
Рекомендується перевірити та загартувати працюючий сервіс Memccached, щоб запобігти зайвому трафіку пропускної здатності, спричиненому хакерами для запуску DDoS-атак.
Якщо ваша версія Memcached нижча за 1.5.6 і вам не потрібно слухати UDP. Ви можете перезапустити Memcached, щоб приєднатися до параметра запуску -U 0, наприклад, Memcached -U 0, який забороняє прослуховування на протоколі udp
Більше документації з Memcached Service Security Hardening:
https://help.aliyun.com/knowledge_detail/37553.html
Якщо ви придбали Alibaba Cloud Shield Anknight, ви можете виправити це відповідно до інструкцій на консолі Anknight.
По-друге, як захиститися від DDoS-атак з відбиттям Memcached
Рекомендується оптимізувати структуру сервісу та розкидати сервіс між кількома IP-адресами.
Memcached робить досить простим запуск високотрафікованих DDoS-атак, а захист від атак Memcached вимагає достатньої пропускної здатності. Якщо ви зіткнетеся з атакою відбиття з великим трафіком, ви можете придбати сервіс очищення хмари і порекомендувати сервіс для фільтрації відбиттів UDP. Alibaba Cloud Anti-DDoS Pro запустила сервіси блокування UDP.
|
Опубліковано 02.03.2018 09:40:24
|
|
|
Опубліковано 02.03.2018 10:05:56
|
