歡迎大家前往騰訊雲+社群,擷取更多騰訊海量技術實踐幹貨哦~
作者:騰訊遊戲雲
近日,利用Memcached伺服器實施反射DDoS攻擊的事件呈大幅上升趨勢。DDoS攻擊流量首次過T,引發業界熱烈回應。現騰訊遊戲雲回溯整個事件如下:
追溯2 月 27 日消息,Cloudflare 和 Arbor Networks 公司于周二發出警告稱,惡意攻擊者正在濫用 Memcached 協定發起分布式拒絕服務(DDoS)放大攻擊,全球範圍内許多伺服器(包括 Arbor Networks 公司)受到影響。下圖為監測到Memcached攻擊态勢。
僅僅過了一天,就出現了1.35Tbps攻擊流量重新整理DDoS攻擊曆史紀錄。
美國東部時間周三下午,GitHub透露其可能遭受了有史最強的DDoS攻擊,專家稱攻擊者采用了放大攻擊的新方法Memcached反射攻擊,可能會在未來發生更大規模的分布式拒絕服務(DDoS)攻擊。對GitHub平台的第一次峰值流量攻擊達到了1.35Tbps,随後又出現了另外一次400Gbps的峰值,這可能也将成為目前記錄在案的最強DDoS攻擊,此前這一資料為1.1Tbps。
據CNCERT3月3日消息,監測發現Memcached反射攻擊在中原標準時間3月1日淩晨2點30分左右峰值流量高達1.94Tbps。
截止3月6日,騰訊雲已捕獲到多起利用Memcached發起的反射型DDoS攻擊。主要攻擊目标包括遊戲、門戶網站等業務。
騰訊雲資料監測顯示,黑産針對騰訊雲業務發起的Memcached反射型攻擊從2月21日起進入活躍期,在3月1日達到活躍高峰,随後攻擊次數明顯減少,到3月5日再次出現攻擊高峰。攻擊态勢如下圖所示:
下圖為騰訊雲捕獲到的Memcached反射型DDoS攻擊的抓包樣本:
騰訊雲捕獲到的Memcached反射源為22511個。Memcached反射源來源分布情況如下圖所示:
在騰訊雲宙斯盾安全系統防護下,騰訊雲業務在Memcached反射型DDoS攻擊中不受影響。
一般而言,我們會根據針對的協定類型和攻擊方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊類型。
DDoS攻擊的曆史可以追溯到上世紀90年代,反射型DDoS 攻擊則是DDoS攻擊中較巧妙的一種。攻擊者并不直接攻擊目标服務 IP,而是通過僞造被攻擊者的 IP向開放某些某些特殊服務的伺服器發請求封包,該伺服器會将數倍于請求封包的回複資料發送到那個僞造的IP(即目标服務IP),進而實作隔山打牛,四兩撥千金的效果。而Memcached反射型攻擊因為其高達數萬倍的放大倍數,更加受到攻擊者的青睐。
Memcached反射攻擊,就是發起攻擊者僞造成受害者的IP對網際網路上可以被利用的Memcached的服務發起大量請求,Memcached對請求回應。大量的回應封包彙聚到被僞造的IP位址源,形成反射型分布式拒絕服務攻擊。
據騰訊雲宙斯盾安全團隊成員介紹,以往我們面臨的DDoS威脅,例如NTP和SSDP反射攻擊的放大倍數一般都是30~50之間,而Memcached的放大倍數是萬為機關,一般放大倍數接近5萬倍,且并不能排除這個倍數被繼續放大的可能性。利用這個特點,攻擊者可以用非常少的帶寬即可發起流量巨大的DDoS攻擊。
早在Memcached反射型DDoS攻擊手法試探鵝廠業務之時,騰訊雲已感覺到風險并提前做好部署,這輪黑客基于Memcached反射發起的DDoS攻擊都被成功防護。
與此同時,騰訊雲在捕獲到Memcached攻擊後,及時協助業務客戶自查,提供監測和修複建議以確定使用者的伺服器不被用于發起DDoS攻擊。
DDoS攻擊愈演愈烈,不斷重新整理攻擊流量紀錄,面臨超越Tbps級的超大流量攻擊,騰訊雲宙斯盾安全産品團隊建議使用者做以下應對:
反射型UDP攻擊占據DDoS攻擊半壁江山。根據2017年騰訊雲遊戲行業DDoS攻擊态勢報告顯示,反射型UDP攻擊占了2017年全年DDoS攻擊的55%,需要重點關注此種類型攻擊。
此次Memcached反射型攻擊作為一種較新型的反射型UDP攻擊形式出現,帶來巨大安全隐患,需要業界持續關注網際網路安全動态,并提高風險感覺能力,做好政策應對。在行業内出現威脅爆發時進行必要的演練。
應對逐漸更新的DDoS攻擊風險。建議配置騰訊雲超大容量高防産品,隐藏源站IP。用高防IP充足的帶寬資源應對可能的大流量攻擊行為,并根據業務特點制定個性化的防護政策,被DDoS攻擊時才能保證業務可用性,從容處理。在面對高等級DDoS威脅時,及時更新防護配置,必要時請求DDoS防護廠商的專家服務。
了解騰訊雲超大容量高防産品:http://suo.im/2Jw4VK
門戶、金融、遊戲等往年易受黑産死盯的行業需加強防範,政府等DDoS防護能力較弱的業務需提高大流量攻擊的警惕。
風險往往曾經出現過苗頭,一旦被黑産的春風點起,在毫無防護的情形之下,就會燃起燎原大火。
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
http://mp.weixin.qq.com/s/b0TXg_7Q9TweP4qu-8PKqw
Unity引擎與C#腳本簡介
基于騰訊雲的視訊聊天研究
ios微信記憶體監控
此文已由作者授權騰訊雲+社群釋出,轉載請注明文章出處
原文連結:https://cloud.tencent.com/developer/article/1053166
海量技術實踐經驗,盡在雲加社群!
https://cloud.tencent.com/developer