從一枚子彈變成一顆核彈�����,從一滴水變成汪洋大海���,這種情況是否只存在于大家的想象之中?本周����,360信息安全部0kee Team監(jiān)測(cè)到一種利用Memcache的超大規(guī)模DDoS攻擊事件�,攻擊者只需向Memcache服務(wù)器發(fā)送小字節(jié)請(qǐng)求,就可誘騙服務(wù)器將數(shù)萬(wàn)倍的響應(yīng)數(shù)據(jù)包發(fā)送給被攻擊者����,形成DDoS攻擊。
360安全團(tuán)隊(duì)率先發(fā)出面向全球的重要預(yù)警�,目前全球已有多個(gè)云服務(wù)器遭到攻擊,已知的最高流量接近1.4T,進(jìn)入集中爆發(fā)期�,未來(lái)還可能持續(xù)出現(xiàn)更多該類型的DDoS攻擊事件��。
反射式DDoS攻擊:“熊孩子”秒變“綠巨人”
據(jù)悉��,這種利用Memcache服務(wù)器的反射型DDoS攻擊���,早在2017年6月前后由360 0kee Team首先發(fā)現(xiàn)�,并于同年11月 PoC 2017 會(huì)議報(bào)告上����,詳細(xì)介紹了其攻擊原理和潛在危害。
所謂DDoS攻擊是通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源��,最終致使網(wǎng)絡(luò)癱瘓�。就好比在一個(gè)正常營(yíng)業(yè)的商鋪,突然有一群“熊孩子”蜂擁而至�����,把整個(gè)店面占滿�����,想買東西的顧客擠進(jìn)不來(lái),里面的商品也賣不出去�,這時(shí),商鋪就是受到了來(lái)自“熊孩子”的DDoS攻擊��。
而Memcache作為分布式高速緩存系統(tǒng)����,可幫助大型或者需要頻繁訪問(wèn)數(shù)據(jù)庫(kù)的網(wǎng)站來(lái)提升訪問(wèn)速度。此次核彈級(jí)的DDoS攻擊���,正是網(wǎng)絡(luò)犯罪分子利用Memcache作為DRDoS放大器進(jìn)行放大的攻擊事件���。
360安全團(tuán)隊(duì)介紹,近日發(fā)現(xiàn)的攻擊事件中���,攻擊者首先向Memcache服務(wù)器發(fā)送小字節(jié)請(qǐng)求�����,并要求Memcache服務(wù)器將作出回應(yīng)的數(shù)據(jù)包發(fā)給指定IP(即受害者);Memcache服務(wù)器接收到請(qǐng)求后����,由于 UDP協(xié)議并未正確執(zhí)行�����,產(chǎn)生了數(shù)萬(wàn)倍大小的回應(yīng),并將這一巨大的回應(yīng)數(shù)據(jù)包發(fā)送給受害者;此時(shí)受害者就遭遇了“人在家中坐���,禍從天上來(lái)”的局面。也就是說(shuō)攻擊者能誘騙 Memcache服務(wù)器將過(guò)大規(guī)模的響應(yīng)包發(fā)送給受害者�。
這樣看來(lái),本次攻擊事件還不完全是單純的“熊孩子”式的攻擊���,而像是攻擊者釋放出了成千上萬(wàn)的“熊孩子”���,并讓他們先去了 Memcache服務(wù)器。在這里����,他們突然被放大無(wú)數(shù)倍,變成了成千上萬(wàn)個(gè)“綠巨人”����,然后再浩浩蕩蕩奔向商鋪(受害者)。這時(shí)�����,受攻擊的商鋪別說(shuō)正常營(yíng)業(yè)了,儼然已經(jīng)崩潰����、癱瘓。
這種間接 DDoS 攻擊就是“反射式DDoS攻擊”�,而其中服務(wù)器響應(yīng)數(shù)據(jù)包被放大的次數(shù)則被稱為DDoS攻擊的“放大系數(shù)”。360安全團(tuán)隊(duì)指出�,這次攻擊具有放大倍數(shù)高、影響服務(wù)器范圍廣兩大特點(diǎn)���。
放大系數(shù)超5萬(wàn)倍 堪稱“核彈級(jí)攻擊”
目前�����,該類型的DDoS攻擊放大倍數(shù)可達(dá)到5.12萬(wàn)倍�����,且Memcache服務(wù)器數(shù)量較多�����,在2017年11月時(shí)��,估算全球約有六萬(wàn)臺(tái)服務(wù)器可以被利用�����,并且這些服務(wù)器往往擁有較高的帶寬資源�����。
最近一周以來(lái)����,利用Memcache放大的DDoS攻擊事件爆發(fā)式增長(zhǎng)��,攻擊頻率從每天不足50件增加到每天300至400件���,360安全團(tuán)隊(duì)表示��,可能有更大的攻擊案例并未被公開(kāi)報(bào)道��。
針對(duì)本次史上罕見(jiàn)的DDoS攻擊事件����,360安全團(tuán)隊(duì)在發(fā)布預(yù)警的同時(shí)���,對(duì)Memcache使用者給出了以下三點(diǎn)建議:
1.Memcache的用戶建議將服務(wù)放置于可信域內(nèi)���,有外網(wǎng)時(shí)不要監(jiān)聽(tīng) 0.0.0.0�,有特殊需求可以設(shè)置acl或者添加安全組���。
2.為預(yù)防機(jī)器器掃描和ssrf等攻擊�,修改memcache默認(rèn)監(jiān)聽(tīng)端口��。
3.升級(jí)到最新版本的memcache�,并且使用SASL設(shè)置密碼來(lái)進(jìn)行權(quán)限控制。
此外�����,360安全團(tuán)隊(duì)還發(fā)布了本次DDoS攻擊的詳細(xì)技術(shù)報(bào)告�����,并表示接下來(lái)的一段時(shí)間內(nèi)���,或?qū)⒈l(fā)更多利用Memcached進(jìn)行DRDoS的事件�����,如果本次攻擊效果被其他DDoS團(tuán)隊(duì)所效仿��,將帶來(lái)難以預(yù)計(jì)的嚴(yán)重后果�����,對(duì)此����,360安全團(tuán)隊(duì)將持續(xù)監(jiān)控本次攻擊事件,并及時(shí)做出響應(yīng)措施�����。
文章內(nèi)容僅供閱讀�,不構(gòu)成投資建議�,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作��,風(fēng)險(xiǎn)自擔(dān)�。
京公網(wǎng)安備 11010502041587號(hào)