本周,阿裡雲安全DDoS監控中心資料顯示,利用Memcached 進行DDoS攻擊的趨勢快速升溫。今天, 阿裡雲已經成功監控和防禦一起流量高達758.6Gbps的Memcached DDoS反射攻擊。
如下是Memcached型反射型DDoS攻擊的抓包樣本,從UDP協定+源端口11211的特征,可以快速分辨這種攻擊類型。
這種攻擊,發起攻擊者僞造成受害者的IP對網際網路上可以被利用的Memcached的服務發起大量請求,Memcached對請求回應。大量的回應封包彙聚到被僞造的IP位址源(也就是受害者),形成反射型分布式拒絕服務攻擊。
令人擔憂的一點是,利用Memcached可以數萬倍的放大封包,即傳回的封包大小是請求大小的數萬倍,攻擊者可以利用非常少的帶寬即可發起流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般隻能放大數十倍到數百倍。Memcached放大反射DDoS攻擊因為其放大倍數能産生更大的破壞力。
攻擊态勢
随着利用Memcached進行DDoS攻擊技術的公開,越來越多嘗試使用Memcached進行反射的DDoS發生,并且此類型DDoS攻擊正快速上升。
近期,黑客已經掃描并收集全球可以被利用的MemcachedIP,并出現大量試探性超大流量Memcached DDoS攻擊,下一步Memcached大流量DDoS攻擊将成熟化并大量出現,成為黑客新的利器。
目前網際網路上的反射點數量及危害
整個網際網路可以用于Memcached反射的IP達到數十萬,為攻擊者提供了海量的軍火庫。
随着超大流量DDoS發起難度降低,IDC和雲服務商需要儲備更多的網絡帶寬用于防禦,中小型IDC将很難應對這種超大規模DDoS攻擊,隻有具備超大帶寬和營運商黑洞能力的雲服務商才能有力應對。
目前,阿裡雲已提供Memcached安全配置建議,并在安騎士提供修複引導,幫助雲上使用者修複Memcached風險。高防IP中已提供UDP反射封禁服務。
—
(1) 什麼是Memcached?
Memcached 是一個高性能的分布式記憶體對象緩存系統,用于動态Web應用以減輕資料庫負載。它通過在記憶體中緩存資料和對象來減少讀取資料庫的次數,進而提高動态、資料庫驅動網站的速度。
(2) Memcached業務場景?
如果網站包含了通路量很大的動态網頁,那麼資料庫的負載将會很高。由于大部分資料庫請求都是讀操作,大部分讀較高的業務系統采用Memcached減少資料庫讀,實作緩存功能可以顯著地減小資料庫負載,提升網站性能。
(3) 為什麼Memcached會被利用與反射放大DDoS攻擊?
由于Memcache(版本低于1.5.6)預設監聽UDP,天然滿足反射DDoS條件
很多使用者将服務監聽在0.0.0.0,且未進行iptables規則配置,這導緻可以被任意來源IP請求
Memcached反射的倍數達到數萬倍,非常利于用于放大封包倍數行成超大流量的DDoS攻擊
針對如何防範Memcached,阿裡雲安全專家有兩個方面的建議:
首先,如何避免被利用成為Memcached反射端:
建議對運作的Memccached服務進行安全檢查和加強,防止被黑客利用發起DDoS攻擊造成不必要的帶寬流量;
如果您的Memcached版本低于1.5.6,且不需要監聽UDP。您可以重新啟動Memcached 加入 -U 0啟動參數,例如:Memcached -U 0,禁止監聽在udp協定上
更多Memcached服務安全加強文檔:
<a href="https://help.aliyun.com/knowledge_detail/37553.html">https://help.aliyun.com/knowledge_detail/37553.html</a>
如果您購買了阿裡雲雲盾安騎士,您可以在安騎士控制台根據引導進行修複。
第二,如何防護Memcached DDoS反射攻擊
建議優化業務架構,将業務分散到多個IP上;
利用Memcached可以相對容易發起超大流量DDoS攻擊,防禦Memcached攻擊需要儲備足夠的帶寬。如果遇到大流量反射攻擊,可以采購雲清洗服務,并建議采用針對UDP反射進行過濾的雲清洗服務。阿裡雲高防IP已推出UDP封堵服務。
參考連結:
<a href="https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/">https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/</a>