758.6G每秒:阿里雲成功防禦國內最大規模Memcached DDoS反射攻擊

摘要: 本周,阿里雲安全DDoS監控中心數據顯示,利用Memcached 進行DDoS攻擊的趨勢快速升溫。今天, 阿里雲已經成功監控和防禦一起流量高達758.6Gbps的Memcached DDoS反射攻擊。

原文鏈接: click.aliyun.com/m/4300

本周,阿里雲安全DDoS監控中心數據顯示,利用Memcached 進行DDoS攻擊的趨勢快速升溫。今天, 阿里雲已經成功監控和防禦一起流量高達758.6Gbps的Memcached DDoS反射攻擊。

如下是Memcached型反射型DDoS攻擊的抓包樣本,從UDP協議+源埠11211的特徵,可以快速分辨這種攻擊類型。

這種攻擊,發起攻擊者偽造成受害者的IP對互聯網上可以被利用的Memcached的服務發起大量請求,Memcached對請求回應。大量的回應報文匯聚到被偽造的IP地址源(也就是受害者),形成反射型分散式拒絕服務攻擊。

令人擔憂的一點是,利用Memcached可以數萬倍的放大報文,即返回的報文大小是請求大小的數萬倍,攻擊者可以利用非常少的帶寬即可發起流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般只能放大數十倍到數百倍。Memcached放大反射DDoS攻擊因為其放大倍數能產生更大的破壞力。

攻擊態勢

隨著利用Memcached進行DDoS攻擊技術的公開,越來越多嘗試使用Memcached進行反射的DDoS發生,並且此類型DDoS攻擊正快速上升。

近期,黑客已經掃描並收集全球可以被利用的MemcachedIP,並出現大量試探性超大流量Memcached DDoS攻擊,下一步Memcached大流量DDoS攻擊將成熟化並大量出現,成為黑客新的利器。

當前互聯網上的反射點數量及危害

整個互聯網可以用於Memcached反射的IP達到數十萬,為攻擊者提供了海量的軍火庫。

隨著超大流量DDoS發起難度降低,IDC和雲服務商需要儲備更多的網路帶寬用於防禦,中小型IDC將很難應對這種超大規模DDoS攻擊,只有具備超大帶寬和運營商黑洞能力的雲服務商才能有力應對。

目前,阿里雲已提供Memcached安全配置建議,並在安騎士提供修復引導,幫助雲上用戶修復Memcached風險。高防IP中已提供UDP反射封禁服務。

(1) 什麼是Memcached?

Memcached 是一個高性能的分散式內存對象緩存系統,用於動態Web應用以減輕資料庫負載。它通過在內存中緩存數據和對象來減少讀取資料庫的次數,從而提高動態、資料庫驅動網站的速度。

(2) Memcached業務場景?

如果網站包含了訪問量很大的動態網頁,那麼資料庫的負載將會很高。由於大部分資料庫請求都是讀操作,大部分讀較高的業務系統採用Memcached減少資料庫讀,實現緩存功能可以顯著地減小資料庫負載,提升網站性能。

(3) 為什麼Memcached會被利用與反射放大DDoS攻擊?

  • 由於Memcache(版本低於1.5.6)默認監聽UDP,天然滿足反射DDoS條件
  • 很多用戶將服務監聽在0.0.0.0,且未進行iptables規則配置,這導致可以被任意來源IP請求
  • Memcached反射的倍數達到數萬倍,非常利於用於放大報文倍數行成超大流量的DDoS攻擊

針對如何防範Memcached,阿里雲安全專家有兩個方面的建議:

首先,如何避免被利用成為Memcached反射端:

建議對運行的Memccached服務進行安全檢查和加固,防止被黑客利用發起DDoS攻擊造成不必要的帶寬流量;

如果您的Memcached版本低於1.5.6,且不需要監聽UDP。您可以重新啟動Memcached 加入 -U 0啟動參數,例如:Memcached -U 0,禁止監聽在udp協議上

更多Memcached服務安全加固文檔:

help.aliyun.com/knowled

如果您購買了阿里云云盾安騎士,您可以在安騎士控制台根據引導進行修復。

第二,如何防護Memcached DDoS反射攻擊

建議優化業務架構,將業務分散到多個IP上;

利用Memcached可以相對容易發起超大流量DDoS攻擊,防禦Memcached攻擊需要儲備足夠的帶寬。如果遇到大流量反射攻擊,可以採購雲清洗服務,並建議採用針對UDP反射進行過濾的雲清洗服務。阿里雲高防IP已推出UDP封堵服務。

參考鏈接:

blog.cloudflare.com/mem

更多技術乾貨敬請關注云棲社區知乎機構號:阿里云云棲社區 - 知乎


推薦閱讀:

在租房或挑選酒店時,如何判斷周邊環境的安全程度?
Android安全技術周報 12.01 - 12.07
如果政府發現數天後是世界末日,會不會告知人民?
怎麼樣的女生看起來不好欺負?
解碼2017雙11:全球狂歡新記錄背後的阿里雲存儲

TAG:安全 | 分散式計算 | DDoS |