近日�����, 國(guó)內(nèi)外多家安全公司和機(jī)構(gòu)發(fā)布了Memcached超級(jí)DRDoS(Distributed Reflection Denial of Service)攻擊的預(yù)警�����,引發(fā)各方關(guān)注����。今天中國(guó)電信云堤與綠盟科技聯(lián)合發(fā)布報(bào)告《深度剖析Memcached 超大型DRDoS攻擊》,報(bào)告指出從本周一至周五(2月26日至3月2日 06:00)短短5天內(nèi)�,全球就發(fā)生了79起利用Memcached協(xié)議的DDoS反射放大攻擊。日攻擊總流量最高達(dá)到419TBytes����。
深度剖析Memcached 超大型DRDoS攻擊
近日,國(guó)內(nèi)外多家安全公司和機(jī)構(gòu)發(fā)布了Memcached超級(jí)DRDoS(Distributed Reflection Denial of Service�,分布式反射拒絕服務(wù))攻擊的預(yù)警�����,引發(fā)各方關(guān)注���。據(jù)我們的監(jiān)控顯示,目前該攻擊的最大峰值流量已經(jīng)達(dá)到了1.35T�。而在2月27號(hào)�����,Memcached的反射攻擊事件流量范圍不過(guò)幾百兆到最大500G左右�。幾日之隔,攻擊峰值的歷史紀(jì)錄就迅速被翻倍刷新�,并且攻擊發(fā)生的頻率從一天十幾次到幾百次,呈現(xiàn)爆發(fā)式增長(zhǎng)�����。這是要搞大事情!
其中����,針對(duì)我國(guó)境內(nèi)的Memcached反射放大攻擊就有68次,江蘇��、浙江兩省被攻擊頻繁。針對(duì)我國(guó)境內(nèi)的攻擊���,單次攻擊最高攻擊峰值達(dá)505Gbps���。攻擊持續(xù)時(shí)間最長(zhǎng)的一次發(fā)生在3月1日,持續(xù)1.2小時(shí)��,總攻擊流量達(dá)103.8TBytes�。
其中,針對(duì)我國(guó)境內(nèi)的Memcached反射放大攻擊就有68次��,江蘇�、浙江兩省被攻擊頻繁。針對(duì)我國(guó)境內(nèi)的攻擊��,單次攻擊最高攻擊峰值達(dá)505Gbps���。攻擊持續(xù)時(shí)間最長(zhǎng)的一次發(fā)生在3月1日��,持續(xù)1.2小時(shí)�����,總攻擊流量達(dá)103.8TBytes�。
Memcached分布情況
最新統(tǒng)計(jì)顯示,全球總共有3790個(gè)Memcached服務(wù)器被利用參與到這些Memcached反射放大攻擊����。這些被利用反射源遍布于全球96個(gè)國(guó)家或地區(qū)范圍內(nèi)。其中��,美國(guó)就占了全球的1/4�。
分布在中國(guó)地區(qū)的被利用的Memcached服務(wù)器位列第二位,占比12.7%���。在中國(guó)各省份占比如下所示�,廣東����、北京��、浙江為TOP3��。 綠盟威脅情報(bào)中心NTI (NSFOCUS Network Threat Intelligence�����,簡(jiǎn)稱NTI)的統(tǒng)計(jì)結(jié)果顯示��,全球范圍內(nèi)存在被利用風(fēng)險(xiǎn)的Memcached服務(wù)器為104,506臺(tái)。分布情況如下:
從地理分布來(lái)看��,美國(guó)可被利用的Memcached服務(wù)器最多�,其次是中國(guó)。
僅從放大倍數(shù)來(lái)看�,Memcached反射攻擊的危害程度遠(yuǎn)遠(yuǎn)高于其他反射攻擊類型,US-Cert提供的數(shù)據(jù)顯示它能夠?qū)崿F(xiàn)51,000倍的放大效果�。
與其他反射攻擊相比,Memcached如何實(shí)現(xiàn)這么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能�。前文提到key-value的作用是決定存儲(chǔ)容量的大小,正常情況下key-value的值通常不超過(guò)幾千字節(jié)����。當(dāng)Memcached被攻擊者利用作為反射器時(shí),key-value的值經(jīng)過(guò)修改可以達(dá)到100萬(wàn)字節(jié)以上�����。
這個(gè)攻擊過(guò)程�,我們通過(guò)實(shí)驗(yàn)室也進(jìn)行了完整復(fù)現(xiàn)。
觸發(fā)Memcached反射攻擊的請(qǐng)求報(bào)文最小為15字節(jié)�����,而返回的請(qǐng)求數(shù)據(jù)達(dá)到105萬(wàn)字節(jié),理論上可放大到接近7萬(wàn)倍���。如此強(qiáng)悍的放大攻擊����,與其他各類DRDoS攻擊形成斷崖式的差距對(duì)比����。
Memcached攻擊防護(hù)加固建議
Memcached系統(tǒng)自查建議
攻擊的形成過(guò)程為我們提供了一個(gè)很好的預(yù)警思路,安全產(chǎn)品可針對(duì)Memcached的key-value配置進(jìn)行檢測(cè)�,在Memcached系統(tǒng)被利用成為攻擊源之前就進(jìn)行攔截。檢測(cè)流程如下�,技術(shù)建議詳見(jiàn)報(bào)告。
Memcached攻擊流量清洗
面對(duì)如此大規(guī)模�����、大范圍的DDoS攻擊威脅��,所有網(wǎng)絡(luò)安全節(jié)點(diǎn)都應(yīng)該加強(qiáng)防范�,從攻擊防護(hù)和外發(fā)清洗兩方面入手���,充分保障基礎(chǔ)設(shè)施和業(yè)務(wù)流量的安全�。針對(duì)此攻擊,我們提供如下防護(hù)建議��,技術(shù)建議詳見(jiàn)報(bào)告�����。
· 運(yùn)營(yíng)商�。運(yùn)營(yíng)商及IDC處于網(wǎng)絡(luò)上游,擁有強(qiáng)大的帶寬資源�����,是攻擊最直接的受害者�,也是防護(hù)的第一道屏障。運(yùn)營(yíng)商能夠靈活控制路由策略和防護(hù)策略進(jìn)行快速過(guò)濾��。
· 企業(yè)用戶��。企業(yè)用戶通常貼近服務(wù)終端�����,熟悉掌握自身業(yè)務(wù)流量特點(diǎn)�����,策略配置更加明確,靈活性強(qiáng)�。
Memcached系統(tǒng)防護(hù)加固
對(duì)于正在使用Memcached系統(tǒng)的用戶,為了避免被攻擊者利用�,使Memcached成為攻擊源,對(duì)外發(fā)起攻擊流量����,影響自身系統(tǒng)性能,我們提供如下幾點(diǎn)建議��。
1)在邊界網(wǎng)絡(luò)設(shè)備上配置URPF策略��,過(guò)濾外發(fā)的虛假源IP報(bào)文;
2)在Memcached系統(tǒng)前進(jìn)行深度檢測(cè)����,直接過(guò)濾報(bào)文特征中set key 0 900 64000的第三個(gè)字段過(guò)大的數(shù)據(jù)包,這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進(jìn)行攔截;
3)對(duì)Memcached服務(wù)進(jìn)行安全檢查��,查看Memcached服務(wù)是否監(jiān)聽(tīng)UDP端口�。查找Memcached進(jìn)程,查看是否有-l參數(shù)��,如果沒(méi)有則默認(rèn)為0.0.0.0���。若Memcached服務(wù)不需要監(jiān)聽(tīng)UDP,禁用UDP。
文章內(nèi)容僅供閱讀���,不構(gòu)成投資建議�����,請(qǐng)謹(jǐn)慎對(duì)待�。投資者據(jù)此操作�,風(fēng)險(xiǎn)自擔(dān)。
京公網(wǎng)安備 11010502041587號(hào)