758.6G每秒:阿里雲成功防禦國內最大規模Memcached DDoS反射攻擊
摘要: 本周,阿里雲安全DDoS監控中心數據顯示,利用Memcached 進行DDoS攻擊的趨勢快速升溫。今天, 阿里雲已經成功監控和防禦一起流量高達758.6Gbps的Memcached DDoS反射攻擊。
原文鏈接: http://click.aliyun.com/m/43007/
本周,阿里雲安全DDoS監控中心數據顯示,利用Memcached 進行DDoS攻擊的趨勢快速升溫。今天, 阿里雲已經成功監控和防禦一起流量高達758.6Gbps的Memcached DDoS反射攻擊。
如下是Memcached型反射型DDoS攻擊的抓包樣本,從UDP協議+源埠11211的特徵,可以快速分辨這種攻擊類型。
這種攻擊,發起攻擊者偽造成受害者的IP對互聯網上可以被利用的Memcached的服務發起大量請求,Memcached對請求回應。大量的回應報文匯聚到被偽造的IP地址源(也就是受害者),形成反射型分散式拒絕服務攻擊。
令人擔憂的一點是,利用Memcached可以數萬倍的放大報文,即返回的報文大小是請求大小的數萬倍,攻擊者可以利用非常少的帶寬即可發起流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般只能放大數十倍到數百倍。Memcached放大反射DDoS攻擊因為其放大倍數能產生更大的破壞力。
攻擊態勢
隨著利用Memcached進行DDoS攻擊技術的公開,越來越多嘗試使用Memcached進行反射的DDoS發生,並且此類型DDoS攻擊正快速上升。
近期,黑客已經掃描並收集全球可以被利用的MemcachedIP,並出現大量試探性超大流量Memcached DDoS攻擊,下一步Memcached大流量DDoS攻擊將成熟化並大量出現,成為黑客新的利器。
當前互聯網上的反射點數量及危害
整個互聯網可以用於Memcached反射的IP達到數十萬,為攻擊者提供了海量的軍火庫。
隨著超大流量DDoS發起難度降低,IDC和雲服務商需要儲備更多的網路帶寬用於防禦,中小型IDC將很難應對這種超大規模DDoS攻擊,只有具備超大帶寬和運營商黑洞能力的雲服務商才能有力應對。
目前,阿里雲已提供Memcached安全配置建議,並在安騎士提供修復引導,幫助雲上用戶修復Memcached風險。高防IP中已提供UDP反射封禁服務。
—
(1) 什麼是Memcached?
Memcached 是一個高性能的分散式內存對象緩存系統,用於動態Web應用以減輕資料庫負載。它通過在內存中緩存數據和對象來減少讀取資料庫的次數,從而提高動態、資料庫驅動網站的速度。
(2) Memcached業務場景?
如果網站包含了訪問量很大的動態網頁,那麼資料庫的負載將會很高。由於大部分資料庫請求都是讀操作,大部分讀較高的業務系統採用Memcached減少資料庫讀,實現緩存功能可以顯著地減小資料庫負載,提升網站性能。
(3) 為什麼Memcached會被利用與反射放大DDoS攻擊?
- 由於Memcache(版本低於1.5.6)默認監聽UDP,天然滿足反射DDoS條件
- 很多用戶將服務監聽在0.0.0.0,且未進行iptables規則配置,這導致可以被任意來源IP請求
- Memcached反射的倍數達到數萬倍,非常利於用於放大報文倍數行成超大流量的DDoS攻擊
針對如何防範Memcached,阿里雲安全專家有兩個方面的建議:
首先,如何避免被利用成為Memcached反射端:
建議對運行的Memccached服務進行安全檢查和加固,防止被黑客利用發起DDoS攻擊造成不必要的帶寬流量;
如果您的Memcached版本低於1.5.6,且不需要監聽UDP。您可以重新啟動Memcached 加入 -U 0啟動參數,例如:Memcached -U 0,禁止監聽在udp協議上
更多Memcached服務安全加固文檔:
https://help.aliyun.com/knowledge_detail/37553.html
如果您購買了阿里云云盾安騎士,您可以在安騎士控制台根據引導進行修復。
第二,如何防護Memcached DDoS反射攻擊
建議優化業務架構,將業務分散到多個IP上;
利用Memcached可以相對容易發起超大流量DDoS攻擊,防禦Memcached攻擊需要儲備足夠的帶寬。如果遇到大流量反射攻擊,可以採購雲清洗服務,並建議採用針對UDP反射進行過濾的雲清洗服務。阿里雲高防IP已推出UDP封堵服務。
參考鏈接:
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
更多技術乾貨敬請關注云棲社區知乎機構號:阿里云云棲社區 - 知乎
推薦閱讀:
※在租房或挑選酒店時,如何判斷周邊環境的安全程度?
※Android安全技術周報 12.01 - 12.07
※如果政府發現數天後是世界末日,會不會告知人民?
※怎麼樣的女生看起來不好欺負?
※解碼2017雙11:全球狂歡新記錄背後的阿里雲存儲