四兩撥千斤式的攻擊!如何應對Memcache伺服器漏洞所帶來的DDoS攻擊?
近日,媒體曝光Memcache伺服器一個漏洞,犯罪分子可利用Memcache伺服器通過非常少的計算資源發動超大規模的DDoS攻擊。該漏洞是Memcache開發人員對UDP協議支持的方式不安全導致的,黑客能通過它實現「反射型DDoS攻擊」。
什麼是反射型DDoS攻擊,犯罪分子是如何利用UDP協議進行攻擊的?我們應該採取什麼方式去減少它所帶來的危害?網易雲首席安全架構師沈明星對此進行了解讀。
「四兩撥千斤」的攻擊方式
沈明星稱,反射型DDoS攻擊是一種新的變種。攻擊者並不直接攻擊目標服務IP,而是利用互聯網的某些特殊服務開放的伺服器,通過偽造被攻擊者的IP地址、向有開放服務的伺服器發送構造的請求報文,該伺服器會將數倍於請求報文的回複數據發送到被攻擊IP,從而對後者間接形成DDOS攻擊。
回到Memcache伺服器上則是,犯罪分子會向埠11211上的Memcache伺服器發送小位元組請求。由於UDP協議並未正確執行,因此Memcache伺服器並未以類似或更小的包予以響應,而是 有時候比原始請求大數千倍的包予以響應。由於UDP協議即包的原始IP地址能輕易遭欺騙,也就是說攻擊者能誘騙Memcache伺服器將過大規模的響應包發送給另外一個IP地址,即DDoS攻擊的受害者的IP地址。
那為什麼攻擊者能利用了網路協議的缺陷或者漏洞進行IP欺騙?沈明星稱,這主要是因為很多協議(例如ICMP、UDP等)對源IP不進行認證。
為了達到更好的攻擊效果,黑客還會選擇具有放大效果的協議服務進行攻擊,「攻擊非常容易就能達到四兩撥千斤的效果。」沈明星擔憂地說。
我們任何一個對外開放的業務都可能是潛在的受害者 建議停止使用Memcache的UDP埠
根據監測數據顯示,利用Memcache這個漏洞進行DDoS攻擊的事件明顯增多,存在較大的風險。沈明星說:「我們任何一個對外開放的業務都可能是潛在的受害者。」
那應該採取什麼方式去減少Memcache漏洞所帶來的危害?這位攻防經驗十分豐富的首席安全架構師表示,對於Memcache的用戶,為了避免成為攻擊者的幫凶,可以使用「--listen 127.0.0.1」只在本地偵聽UDP埠,或者索性使用「 -U 0 」關閉UDP埠。除此之外,也可以使用防火牆關閉對11211埠的訪問。
對於開發而言,建議停止使用Memcache的UDP埠。
對於易受攻擊的用戶,建議對自己的業務進行加固。另外,由於UDP反射使用大帶寬進行堵塞的這一特徵,需要用戶採購超大的帶寬才能進行防禦。一般用戶如果無力採購超大帶寬,建議購買DDoS高防服務的方式進行防禦。
Memcache伺服器漏洞披露後,網易雲易盾DDoS高防第一時間進行了響應。即時推送相關消息給用戶進行提醒,並對DDoS檢測特徵庫進行了更新,加強針對此次事件的跟蹤和檢測。同時,運營和專家團隊也7*24小時隨時待命應對可能的升級攻擊。
沈明星指出,網易雲易盾DDoS高防使用了網易自研的流量清洗技術,擁有網易二十年的攻防對抗積累經驗,並經過多次大型事件檢驗,應對此次攻擊事件完全遊刃有餘,所有網易雲易盾用戶均可放心。
原文地址:四兩撥千斤式的攻擊!如何應對Memcache伺服器漏洞所帶來的DDoS攻擊?
推薦閱讀:
※無商業目的-以前攻擊者的角度揭秘真正的DDoS市場
※PHPMyWind存儲型xss漏洞說明及復現
※相比Uber的5700萬,趣店100萬學生數據泄露影響面可能更大
※淺談數據出境
※0002 安全問題的根源
TAG:網路安全 |