如下是Memcached型反射型DDoS攻擊的抓包樣本,從UDP協(xié)議+源端口11211的特征,可以快速分辨這種攻擊類(lèi)型。
這種攻擊,發(fā)起攻擊者偽造成受害者的IP對互聯(lián)網(wǎng)上可以被利用的Memcached的服務(wù)發(fā)起大量請求,Memcached對請求回應。大量的回應報文匯聚到被偽造的IP地址源(也就是受害者),形成反射型分布式拒絕服務(wù)攻擊。
令人擔憂(yōu)的一點(diǎn)是,利用Memcached可以數萬(wàn)倍的放大報文,即返回的報文大小是請求大小的數萬(wàn)倍,攻擊者可以利用非常少的帶寬即可發(fā)起流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般只能放大數十倍到數百倍。Memcached放大反射DDoS攻擊因為其放大倍數能產(chǎn)生更大的破壞力。
攻擊態(tài)勢
隨著(zhù)利用Memcached進(jìn)行DDoS攻擊技術(shù)的公開(kāi),越來(lái)越多嘗試使用Memcached進(jìn)行反射的DDoS發(fā)生,并且此類(lèi)型DDoS攻擊正快速上升。
近期,黑客已經(jīng)掃描并收集全球可以被利用的MemcachedIP,并出現大量試探性超大流量Memcached DDoS攻擊,下一步Memcached大流量DDoS攻擊將成熟化并大量出現,成為黑客新的利器。
當前互聯(lián)網(wǎng)上的反射點(diǎn)數量及危害
整個(gè)互聯(lián)網(wǎng)可以用于Memcached反射的IP達到數十萬(wàn),為攻擊者提供了海量的軍火庫。
隨著(zhù)超大流量DDoS發(fā)起難度降低,IDC和云服務(wù)商需要儲備更多的網(wǎng)絡(luò )帶寬用于防御,中小型IDC將很難應對這種超大規模DDoS攻擊,只有具備超大帶寬和運營(yíng)商黑洞能力的云服務(wù)商才能有力應對。
目前,阿里云已提供Memcached安全配置建議,并在安騎士提供修復引導,幫助云上用戶(hù)修復Memcached風(fēng)險。高防IP中已提供UDP反射封禁服務(wù)。
(1) 什么是Memcached?
Memcached 是一個(gè)高性能的分布式內存對象緩存系統,用于動(dòng)態(tài)Web應用以減輕數據庫負載。它通過(guò)在內存中緩存數據和對象來(lái)減少讀取數據庫的次數,從而提高動(dòng)態(tài)、數據庫驅動(dòng)網(wǎng)站的速度。
(2) Memcached業(yè)務(wù)場(chǎng)景?
如果網(wǎng)站包含了訪(fǎng)問(wèn)量很大的動(dòng)態(tài)網(wǎng)頁(yè),那么數據庫的負載將會(huì )很高。由于大部分數據庫請求都是讀操作,大部分讀較高的業(yè)務(wù)系統采用Memcached減少數據庫讀,實(shí)現緩存功能可以顯著(zhù)地減小數據庫負載,提升網(wǎng)站性能。
(3) 為什么Memcached會(huì )被利用與反射放大DDoS攻擊?
- 由于Memcache(版本低于1.5.6)默認監聽(tīng)UDP,天然滿(mǎn)足反射DDoS條件
- 很多用戶(hù)將服務(wù)監聽(tīng)在0.0.0.0,且未進(jìn)行iptables規則配置,這導致可以被任意來(lái)源IP請求
- Memcached反射的倍數達到數萬(wàn)倍,非常利于用于放大報文倍數行成超大流量的DDoS攻擊
針對如何防范Memcached,阿里云安全專(zhuān)家有兩個(gè)方面的建議:
首先,如何避免被利用成為Memcached反射端:
建議對運行的Memccached服務(wù)進(jìn)行安全檢查和加固,防止被黑客利用發(fā)起DDoS攻擊造成不必要的帶寬流量;
如果您的Memcached版本低于1.5.6,且不需要監聽(tīng)UDP。您可以重新啟動(dòng)Memcached 加入 -U 0啟動(dòng)參數,例如:Memcached -U 0,禁止監聽(tīng)在udp協(xié)議上
更多Memcached服務(wù)安全加固文檔:
https://help.aliyun.com/knowledge_detail/37553.html
如果您購買(mǎi)了阿里云云盾安騎士,您可以在安騎士控制臺根據引導進(jìn)行修復。
第二,如何防護Memcached DDoS反射攻擊
建議優(yōu)化業(yè)務(wù)架構,將業(yè)務(wù)分散到多個(gè)IP上;
利用Memcached可以相對容易發(fā)起超大流量DDoS攻擊,防御Memcached攻擊需要儲備足夠的帶寬。如果遇到大流量反射攻擊,可以采購云清洗服務(wù),并建議采用針對UDP反射進(jìn)行過(guò)濾的云清洗服務(wù)。阿里云高防IP已推出UDP封堵服務(wù)。
參考鏈接:
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
