如下是Memcached型反射型DDoS攻擊的抓包樣本,從UDP協(xié)議+源端口11211的特征,可以快速分辨這種攻擊類型。
這種攻擊,發(fā)起攻擊者偽造成受害者的IP對互聯(lián)網(wǎng)上可以被利用的Memcached的服務(wù)發(fā)起大量請求,Memcached對請求回應(yīng)。大量的回應(yīng)報文匯聚到被偽造的IP地址源(也就是受害者),形成反射型分布式拒絕服務(wù)攻擊。
令人擔(dān)憂的一點(diǎn)是,利用Memcached可以數(shù)萬倍的放大報文,即返回的報文大小是請求大小的數(shù)萬倍,攻擊者可以利用非常少的帶寬即可發(fā)起流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般只能放大數(shù)十倍到數(shù)百倍。Memcached放大反射DDoS攻擊因?yàn)槠浞糯蟊稊?shù)能產(chǎn)生更大的破壞力。
攻擊態(tài)勢
隨著利用Memcached進(jìn)行DDoS攻擊技術(shù)的公開,越來越多嘗試使用Memcached進(jìn)行反射的DDoS發(fā)生,并且此類型DDoS攻擊正快速上升。
近期,黑客已經(jīng)掃描并收集全球可以被利用的MemcachedIP,并出現(xiàn)大量試探性超大流量Memcached DDoS攻擊,下一步Memcached大流量DDoS攻擊將成熟化并大量出現(xiàn),成為黑客新的利器。
當(dāng)前互聯(lián)網(wǎng)上的反射點(diǎn)數(shù)量及危害
整個互聯(lián)網(wǎng)可以用于Memcached反射的IP達(dá)到數(shù)十萬,為攻擊者提供了海量的軍火庫。
隨著超大流量DDoS發(fā)起難度降低,IDC和云服務(wù)商需要儲備更多的網(wǎng)絡(luò)帶寬用于防御,中小型IDC將很難應(yīng)對這種超大規(guī)模DDoS攻擊,只有具備超大帶寬和運(yùn)營商黑洞能力的云服務(wù)商才能有力應(yīng)對。
目前,阿里云已提供Memcached安全配置建議,并在安騎士提供修復(fù)引導(dǎo),幫助云上用戶修復(fù)Memcached風(fēng)險。高防IP中已提供UDP反射封禁服務(wù)。
(1) 什么是Memcached?
Memcached 是一個高性能的分布式內(nèi)存對象緩存系統(tǒng),用于動態(tài)Web應(yīng)用以減輕數(shù)據(jù)庫負(fù)載。它通過在內(nèi)存中緩存數(shù)據(jù)和對象來減少讀取數(shù)據(jù)庫的次數(shù),從而提高動態(tài)、數(shù)據(jù)庫驅(qū)動網(wǎng)站的速度。
(2) Memcached業(yè)務(wù)場景?
如果網(wǎng)站包含了訪問量很大的動態(tài)網(wǎng)頁,那么數(shù)據(jù)庫的負(fù)載將會很高。由于大部分?jǐn)?shù)據(jù)庫請求都是讀操作,大部分讀較高的業(yè)務(wù)系統(tǒng)采用Memcached減少數(shù)據(jù)庫讀,實(shí)現(xiàn)緩存功能可以顯著地減小數(shù)據(jù)庫負(fù)載,提升網(wǎng)站性能。
(3) 為什么Memcached會被利用與反射放大DDoS攻擊?
- 由于Memcache(版本低于1.5.6)默認(rèn)監(jiān)聽UDP,天然滿足反射DDoS條件
- 很多用戶將服務(wù)監(jiān)聽在0.0.0.0,且未進(jìn)行iptables規(guī)則配置,這導(dǎo)致可以被任意來源IP請求
- Memcached反射的倍數(shù)達(dá)到數(shù)萬倍,非常利于用于放大報文倍數(shù)行成超大流量的DDoS攻擊
針對如何防范Memcached,阿里云安全專家有兩個方面的建議:
首先,如何避免被利用成為Memcached反射端:
建議對運(yùn)行的Memccached服務(wù)進(jìn)行安全檢查和加固,防止被黑客利用發(fā)起DDoS攻擊造成不必要的帶寬流量;
如果您的Memcached版本低于1.5.6,且不需要監(jiān)聽UDP。您可以重新啟動Memcached 加入 -U 0啟動參數(shù),例如:Memcached -U 0,禁止監(jiān)聽在udp協(xié)議上
更多Memcached服務(wù)安全加固文檔:
https://help.aliyun.com/knowledge_detail/37553.html
如果您購買了阿里云云盾安騎士,您可以在安騎士控制臺根據(jù)引導(dǎo)進(jìn)行修復(fù)。
第二,如何防護(hù)Memcached DDoS反射攻擊
建議優(yōu)化業(yè)務(wù)架構(gòu),將業(yè)務(wù)分散到多個IP上;
利用Memcached可以相對容易發(fā)起超大流量DDoS攻擊,防御Memcached攻擊需要儲備足夠的帶寬。如果遇到大流量反射攻擊,可以采購云清洗服務(wù),并建議采用針對UDP反射進(jìn)行過濾的云清洗服務(wù)。阿里云高防IP已推出UDP封堵服務(wù)。
參考鏈接:
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
