近日, 國(guó)內(nèi)外多家安全公司和機(jī)構(gòu)發(fā)布了Memcached超級(jí)DRDoS(Distributed Reflection Denial of Service)攻擊的預(yù)警,引發(fā)各方關(guān)注。今天中國(guó)電信云堤與綠盟科技聯(lián)合發(fā)布報(bào)告《深度剖析Memcached 超大型DRDoS攻擊》,報(bào)告指出從本周一至周五(2月26日至3月2日 06:00)短短5天內(nèi),全球就發(fā)生了79起利用Memcached協(xié)議的DDoS反射放大攻擊。日攻擊總流量最高達(dá)到419TBytes。
深度剖析Memcached 超大型DRDoS攻擊
近日,國(guó)內(nèi)外多家安全公司和機(jī)構(gòu)發(fā)布了Memcached超級(jí)DRDoS(Distributed Reflection Denial of Service,分布式反射拒絕服務(wù))攻擊的預(yù)警,引發(fā)各方關(guān)注。據(jù)我們的監(jiān)控顯示,目前該攻擊的最大峰值流量已經(jīng)達(dá)到了1.35T。而在2月27號(hào),Memcached的反射攻擊事件流量范圍不過(guò)幾百兆到最大500G左右。幾日之隔,攻擊峰值的歷史紀(jì)錄就迅速被翻倍刷新,并且攻擊發(fā)生的頻率從一天十幾次到幾百次,呈現(xiàn)爆發(fā)式增長(zhǎng)。這是要搞大事情!
其中,針對(duì)我國(guó)境內(nèi)的Memcached反射放大攻擊就有68次,江蘇、浙江兩省被攻擊頻繁。針對(duì)我國(guó)境內(nèi)的攻擊,單次攻擊最高攻擊峰值達(dá)505Gbps。攻擊持續(xù)時(shí)間最長(zhǎng)的一次發(fā)生在3月1日,持續(xù)1.2小時(shí),總攻擊流量達(dá)103.8TBytes。
其中,針對(duì)我國(guó)境內(nèi)的Memcached反射放大攻擊就有68次,江蘇、浙江兩省被攻擊頻繁。針對(duì)我國(guó)境內(nèi)的攻擊,單次攻擊最高攻擊峰值達(dá)505Gbps。攻擊持續(xù)時(shí)間最長(zhǎng)的一次發(fā)生在3月1日,持續(xù)1.2小時(shí),總攻擊流量達(dá)103.8TBytes。
Memcached分布情況
最新統(tǒng)計(jì)顯示,全球總共有3790個(gè)Memcached服務(wù)器被利用參與到這些Memcached反射放大攻擊。這些被利用反射源遍布于全球96個(gè)國(guó)家或地區(qū)范圍內(nèi)。其中,美國(guó)就占了全球的1/4。
分布在中國(guó)地區(qū)的被利用的Memcached服務(wù)器位列第二位,占比12.7%。在中國(guó)各省份占比如下所示,廣東、北京、浙江為TOP3。 綠盟威脅情報(bào)中心NTI (NSFOCUS Network Threat Intelligence,簡(jiǎn)稱NTI)的統(tǒng)計(jì)結(jié)果顯示,全球范圍內(nèi)存在被利用風(fēng)險(xiǎn)的Memcached服務(wù)器為104,506臺(tái)。分布情況如下:
從地理分布來(lái)看,美國(guó)可被利用的Memcached服務(wù)器最多,其次是中國(guó)。
僅從放大倍數(shù)來(lái)看,Memcached反射攻擊的危害程度遠(yuǎn)遠(yuǎn)高于其他反射攻擊類型,US-Cert提供的數(shù)據(jù)顯示它能夠?qū)崿F(xiàn)51,000倍的放大效果。
與其他反射攻擊相比,Memcached如何實(shí)現(xiàn)這么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能。前文提到key-value的作用是決定存儲(chǔ)容量的大小,正常情況下key-value的值通常不超過(guò)幾千字節(jié)。當(dāng)Memcached被攻擊者利用作為反射器時(shí),key-value的值經(jīng)過(guò)修改可以達(dá)到100萬(wàn)字節(jié)以上。
這個(gè)攻擊過(guò)程,我們通過(guò)實(shí)驗(yàn)室也進(jìn)行了完整復(fù)現(xiàn)。
觸發(fā)Memcached反射攻擊的請(qǐng)求報(bào)文最小為15字節(jié),而返回的請(qǐng)求數(shù)據(jù)達(dá)到105萬(wàn)字節(jié),理論上可放大到接近7萬(wàn)倍。如此強(qiáng)悍的放大攻擊,與其他各類DRDoS攻擊形成斷崖式的差距對(duì)比。
Memcached攻擊防護(hù)加固建議
Memcached系統(tǒng)自查建議
攻擊的形成過(guò)程為我們提供了一個(gè)很好的預(yù)警思路,安全產(chǎn)品可針對(duì)Memcached的key-value配置進(jìn)行檢測(cè),在Memcached系統(tǒng)被利用成為攻擊源之前就進(jìn)行攔截。檢測(cè)流程如下,技術(shù)建議詳見(jiàn)報(bào)告。
Memcached攻擊流量清洗
面對(duì)如此大規(guī)模、大范圍的DDoS攻擊威脅,所有網(wǎng)絡(luò)安全節(jié)點(diǎn)都應(yīng)該加強(qiáng)防范,從攻擊防護(hù)和外發(fā)清洗兩方面入手,充分保障基礎(chǔ)設(shè)施和業(yè)務(wù)流量的安全。針對(duì)此攻擊,我們提供如下防護(hù)建議,技術(shù)建議詳見(jiàn)報(bào)告。
· 運(yùn)營(yíng)商。運(yùn)營(yíng)商及IDC處于網(wǎng)絡(luò)上游,擁有強(qiáng)大的帶寬資源,是攻擊最直接的受害者,也是防護(hù)的第一道屏障。運(yùn)營(yíng)商能夠靈活控制路由策略和防護(hù)策略進(jìn)行快速過(guò)濾。
· 企業(yè)用戶。企業(yè)用戶通常貼近服務(wù)終端,熟悉掌握自身業(yè)務(wù)流量特點(diǎn),策略配置更加明確,靈活性強(qiáng)。
Memcached系統(tǒng)防護(hù)加固
對(duì)于正在使用Memcached系統(tǒng)的用戶,為了避免被攻擊者利用,使Memcached成為攻擊源,對(duì)外發(fā)起攻擊流量,影響自身系統(tǒng)性能,我們提供如下幾點(diǎn)建議。
1)在邊界網(wǎng)絡(luò)設(shè)備上配置URPF策略,過(guò)濾外發(fā)的虛假源IP報(bào)文;
2)在Memcached系統(tǒng)前進(jìn)行深度檢測(cè),直接過(guò)濾報(bào)文特征中set key 0 900 64000的第三個(gè)字段過(guò)大的數(shù)據(jù)包,這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進(jìn)行攔截;
3)對(duì)Memcached服務(wù)進(jìn)行安全檢查,查看Memcached服務(wù)是否監(jiān)聽(tīng)UDP端口。查找Memcached進(jìn)程,查看是否有-l參數(shù),如果沒(méi)有則默認(rèn)為0.0.0.0。若Memcached服務(wù)不需要監(jiān)聽(tīng)UDP,禁用UDP。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請(qǐng)謹(jǐn)慎對(duì)待。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)。
近日,德國(guó)柏林國(guó)際電子消費(fèi)品展覽會(huì)(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計(jì)及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)成功斬獲兩項(xiàng)“IFA全球產(chǎn)品設(shè)計(jì)創(chuàng)新大獎(jiǎng)”金獎(jiǎng),有力證明了其在全球市場(chǎng)的強(qiáng)大影響力。
近日,中國(guó)家電及消費(fèi)電子博覽會(huì)(AWE 2024)隆重開(kāi)幕。全球領(lǐng)先的智能終端企業(yè)TCL實(shí)業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無(wú)人區(qū),斬獲四項(xiàng)AWE 2024艾普蘭大獎(jiǎng)。
“以前都要去窗口辦,一套流程下來(lái)都要半個(gè)月了,現(xiàn)在方便多了!”打開(kāi)“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
由世界人工智能大會(huì)組委會(huì)、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會(huì)共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會(huì)聯(lián)合上海人工智能實(shí)驗(yàn)室、上海臨港經(jīng)濟(jì)發(fā)展(集團(tuán))有限公司、開(kāi)放原子開(kāi)源基金會(huì)主辦的“2024全球開(kāi)發(fā)者先鋒大會(huì)”,將于2024年3月23日至24日舉辦。