今天,360網絡安全響應中心(360 Cert)發出預警,稱監測到一種利用Memcache作為DRDoS放大器進行放大的超大規模DDoS攻擊,這種反射型DDoS攻擊能夠達到5萬倍的放大係數,犯罪分子可利用Memcache服務器通過非常少的計算資源發動超大規模的DDoS攻擊。
360 Cert表示目前全球多個雲服務器均遭到攻擊,未來可能有更多利用Memcached進行DRDoS的事件發生。
實際上,早在2017年6月,360信息安全部0kee Team就發現了這種利用Memcache放大的攻擊技術,並在2017年11月通過PoC 2017安全會議對安全社區做出了預警。360 CERT QUAKE全網測繪顯示,目前在外開放的Memcache存儲系統數量級在十萬左右,都可能會受到此類攻擊影響。從國家分佈上來看,開放主機數量上,美國第一,中國第二,但受影響的數量卻相反。
DDoS攻擊是通過大量合法的請求佔用大量網絡資源,以達到癱瘓網絡的目的。舉例來說,就是一個正常營業的商鋪,被大量假冒的顧客佔滿了,沒有辦法為真正的顧客提供服務,這個商鋪就是DDoS攻擊的受害者。
360 CERT團隊介紹,這種利用Memcache作為DRDoS放大器進行放大的DDoS攻擊,利用Memcached協議,發送大量帶有被害者IP地址的UDP數據包給放大器主機,然後放大器主機對偽造的IP地址源做出大量回應,形成分佈式拒絕服務攻擊,從而形成DRDoS反射。
據瞭解,在近幾日發現的利用Memcache放大的攻擊事件中,攻擊者向端口11211上的 Memcache服務器發送小字節請求。由於 UDP協議並未正確執行,因此 Memcache服務器並未以類似或更小的包予以響應,而是以有時候比原始請求大數千倍的包予以響應。也就是說攻擊者能誘騙 Memcache服務器將過大規模的響應包發送給受害者。
Memcache攻擊放大係數可高達5萬倍
這種類型的 DDoS攻擊被稱為“反射型 DDoS”或“反射 DDoS”。響應數據包被放大的倍數被稱為 DDoS攻擊的“放大係數”。目前常見反射類DDoS攻擊的放大係數,一般是20到100之間。放大係數超過1000的反射型 DDoS攻擊本身就非常罕見,而本次高達5萬倍放大係數被實際應用在DDoS攻擊戰場上,是DDoS歷史上首次出現的超高倍數DDOS攻擊事件,可以說是核彈級的攻擊手法。
這也是本次Memcrashed技術特點之一——反射倍數較大,已經確認可以穩定的達到5萬倍,此外,本次攻擊事件的反射點帶寬充裕,且主要來自IDC機房服務器。
最近一週,利用Memcache放大的攻擊事件迅速上升,攻擊頻率從每天不足50件爆發式上升到每天300~400件,而實際現網中,已經出現了 0.5Tbps 的攻擊。360Cert表示,可能有更大的攻擊案例並未被公開報道。
在接下來的一段時間內,360安全團隊預計會出現更多利用Memcached進行DRDoS的事件,如果本次攻擊效果被其他DDoS團隊所效仿,將會帶來後果更嚴重的攻擊。因此,360安全專家對於Memcache使用者給出幾條建議:
1.Memcache的用戶建議將服務放置於可信域內,有外網時不要監聽 0.0.0.0,有特殊需求可以設置acl或者添加安全組。
2.為預防機器器掃描和ssrf等攻擊,修改memcache默認監聽端口。
3.升級到最新版本的memcache,並且使用SASL設置密碼來進行權限控制。
對於網絡層防禦,360安全專家表示目前已有包括NTT在內的多個國外ISP已經對UDP11211進行限速。同時,安全專家表示,互聯網服務提供商應當禁止在網絡上執行IP欺騙。IP欺騙DRDoS的根本原因。具體措施可以參考BCP38。
此外,安全專家也建議ISP應允許用戶使用 BGP flowspec 限制入站UDP11211的流量,以減輕大型DRDoS攻擊時的擁堵。
閱讀更多 互聯科技電商事 的文章
