近日, 國內外多家安全公司和機構發(fā)布了Memcached超級DRDoS(Distributed Reflection Denial of Service)攻擊的預警����,引發(fā)各方關注。今天中國電信云堤與綠盟科技聯(lián)合發(fā)布報告《深度剖析Memcached 超大型DRDoS攻擊》���,報告指出從本周一至周五(2月26日至3月2日 06:00)短短5天內����,全球就發(fā)生了79起利用Memcached協(xié)議的DDoS反射放大攻擊。日攻擊總流量最高達到419TBytes��。
深度剖析Memcached 超大型DRDoS攻擊
近日�����,國內外多家安全公司和機構發(fā)布了Memcached超級DRDoS(Distributed Reflection Denial of Service����,分布式反射拒絕服務)攻擊的預警�,引發(fā)各方關注。據(jù)我們的監(jiān)控顯示���,目前該攻擊的最大峰值流量已經(jīng)達到了1.35T�����。而在2月27號���,Memcached的反射攻擊事件流量范圍不過幾百兆到最大500G左右����。幾日之隔�����,攻擊峰值的歷史紀錄就迅速被翻倍刷新�����,并且攻擊發(fā)生的頻率從一天十幾次到幾百次����,呈現(xiàn)爆發(fā)式增長。這是要搞大事情!
其中�����,針對我國境內的Memcached反射放大攻擊就有68次�����,江蘇��、浙江兩省被攻擊頻繁。針對我國境內的攻擊��,單次攻擊最高攻擊峰值達505Gbps����。攻擊持續(xù)時間最長的一次發(fā)生在3月1日,持續(xù)1.2小時�����,總攻擊流量達103.8TBytes����。
其中����,針對我國境內的Memcached反射放大攻擊就有68次,江蘇���、浙江兩省被攻擊頻繁�。針對我國境內的攻擊��,單次攻擊最高攻擊峰值達505Gbps�����。攻擊持續(xù)時間最長的一次發(fā)生在3月1日,持續(xù)1.2小時�����,總攻擊流量達103.8TBytes���。
Memcached分布情況
最新統(tǒng)計顯示��,全球總共有3790個Memcached服務器被利用參與到這些Memcached反射放大攻擊��。這些被利用反射源遍布于全球96個國家或地區(qū)范圍內�����。其中����,美國就占了全球的1/4����。
分布在中國地區(qū)的被利用的Memcached服務器位列第二位,占比12.7%�。在中國各省份占比如下所示�����,廣東�����、北京�、浙江為TOP3���。 綠盟威脅情報中心NTI (NSFOCUS Network Threat Intelligence����,簡稱NTI)的統(tǒng)計結果顯示���,全球范圍內存在被利用風險的Memcached服務器為104,506臺�。分布情況如下:
從地理分布來看�����,美國可被利用的Memcached服務器最多��,其次是中國��。
僅從放大倍數(shù)來看����,Memcached反射攻擊的危害程度遠遠高于其他反射攻擊類型,US-Cert提供的數(shù)據(jù)顯示它能夠實現(xiàn)51,000倍的放大效果��。
與其他反射攻擊相比�����,Memcached如何實現(xiàn)這么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能��。前文提到key-value的作用是決定存儲容量的大小�,正常情況下key-value的值通常不超過幾千字節(jié)。當Memcached被攻擊者利用作為反射器時�,key-value的值經(jīng)過修改可以達到100萬字節(jié)以上。
這個攻擊過程�����,我們通過實驗室也進行了完整復現(xiàn)�����。
觸發(fā)Memcached反射攻擊的請求報文最小為15字節(jié)�����,而返回的請求數(shù)據(jù)達到105萬字節(jié),理論上可放大到接近7萬倍�。如此強悍的放大攻擊,與其他各類DRDoS攻擊形成斷崖式的差距對比�。
Memcached攻擊防護加固建議
Memcached系統(tǒng)自查建議
攻擊的形成過程為我們提供了一個很好的預警思路,安全產(chǎn)品可針對Memcached的key-value配置進行檢測����,在Memcached系統(tǒng)被利用成為攻擊源之前就進行攔截。檢測流程如下�,技術建議詳見報告。
Memcached攻擊流量清洗
面對如此大規(guī)模��、大范圍的DDoS攻擊威脅�����,所有網(wǎng)絡安全節(jié)點都應該加強防范�����,從攻擊防護和外發(fā)清洗兩方面入手�����,充分保障基礎設施和業(yè)務流量的安全�����。針對此攻擊�,我們提供如下防護建議,技術建議詳見報告�。
· 運營商。運營商及IDC處于網(wǎng)絡上游�,擁有強大的帶寬資源,是攻擊最直接的受害者�,也是防護的第一道屏障。運營商能夠靈活控制路由策略和防護策略進行快速過濾�。
· 企業(yè)用戶。企業(yè)用戶通常貼近服務終端�����,熟悉掌握自身業(yè)務流量特點�,策略配置更加明確,靈活性強���。
Memcached系統(tǒng)防護加固
對于正在使用Memcached系統(tǒng)的用戶�,為了避免被攻擊者利用���,使Memcached成為攻擊源��,對外發(fā)起攻擊流量����,影響自身系統(tǒng)性能,我們提供如下幾點建議��。
1)在邊界網(wǎng)絡設備上配置URPF策略���,過濾外發(fā)的虛假源IP報文;
2)在Memcached系統(tǒng)前進行深度檢測�����,直接過濾報文特征中set key 0 900 64000的第三個字段過大的數(shù)據(jù)包����,這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進行攔截;
3)對Memcached服務進行安全檢查��,查看Memcached服務是否監(jiān)聽UDP端口��。查找Memcached進程��,查看是否有-l參數(shù),如果沒有則默認為0.0.0.0�。若Memcached服務不需要監(jiān)聽UDP��,禁用UDP�����。
京公網(wǎng)安備 11010502041587號