Memcached超大型DRDoS攻擊 中國電信云堤與綠盟科技聯(lián)合報(bào)告揭露真相

近日， 國內(nèi)外多家安全公司和機(jī)構(gòu)發(fā)布了Memcached超級(jí)DRDoS(Distributed Reflection Denial of Service)攻擊的預(yù)警，引發(fā)各方關(guān)注。今天中國電信云堤與綠盟科技聯(lián)合發(fā)布報(bào)告《深度剖析Memcached 超大型DRDoS攻擊》，報(bào)告指出從本周一至周五(2月26日至3月2日 06:00)短短5天內(nèi)，全球就發(fā)生了79起利用Memcached協(xié)議的DDoS反射放大攻擊。日攻擊總流量最高達(dá)到419TBytes。

深度剖析Memcached 超大型DRDoS攻擊

近日，國內(nèi)外多家安全公司和機(jī)構(gòu)發(fā)布了Memcached超級(jí)DRDoS(Distributed Reflection Denial of Service，分布式反射拒絕服務(wù))攻擊的預(yù)警，引發(fā)各方關(guān)注。據(jù)我們的監(jiān)控顯示，目前該攻擊的最大峰值流量已經(jīng)達(dá)到了1.35T。而在2月27號(hào)，Memcached的反射攻擊事件流量范圍不過幾百兆到最大500G左右。幾日之隔，攻擊峰值的歷史紀(jì)錄就迅速被翻倍刷新，并且攻擊發(fā)生的頻率從一天十幾次到幾百次，呈現(xiàn)爆發(fā)式增長。這是要搞大事情!

其中，針對(duì)我國境內(nèi)的Memcached反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對(duì)我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達(dá)505Gbps。攻擊持續(xù)時(shí)間最長的一次發(fā)生在3月1日，持續(xù)1.2小時(shí)，總攻擊流量達(dá)103.8TBytes。

其中，針對(duì)我國境內(nèi)的Memcached反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對(duì)我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達(dá)505Gbps。攻擊持續(xù)時(shí)間最長的一次發(fā)生在3月1日，持續(xù)1.2小時(shí)，總攻擊流量達(dá)103.8TBytes。

Memcached分布情況

最新統(tǒng)計(jì)顯示，全球總共有3790個(gè)Memcached服務(wù)器被利用參與到這些Memcached反射放大攻擊。這些被利用反射源遍布于全球96個(gè)國家或地區(qū)范圍內(nèi)。其中，美國就占了全球的1/4。

分布在中國地區(qū)的被利用的Memcached服務(wù)器位列第二位，占比12.7%。在中國各省份占比如下所示，廣東、北京、浙江為TOP3。 綠盟威脅情報(bào)中心NTI (NSFOCUS Network Threat Intelligence，簡稱NTI)的統(tǒng)計(jì)結(jié)果顯示，全球范圍內(nèi)存在被利用風(fēng)險(xiǎn)的Memcached服務(wù)器為104,506臺(tái)。分布情況如下：

從地理分布來看，美國可被利用的Memcached服務(wù)器最多，其次是中國。

僅從放大倍數(shù)來看，Memcached反射攻擊的危害程度遠(yuǎn)遠(yuǎn)高于其他反射攻擊類型，US-Cert提供的數(shù)據(jù)顯示它能夠?qū)崿F(xiàn)51,000倍的放大效果。

與其他反射攻擊相比，Memcached如何實(shí)現(xiàn)這么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能。前文提到key-value的作用是決定存儲(chǔ)容量的大小，正常情況下key-value的值通常不超過幾千字節(jié)。當(dāng)Memcached被攻擊者利用作為反射器時(shí)，key-value的值經(jīng)過修改可以達(dá)到100萬字節(jié)以上。

這個(gè)攻擊過程，我們通過實(shí)驗(yàn)室也進(jìn)行了完整復(fù)現(xiàn)。

觸發(fā)Memcached反射攻擊的請(qǐng)求報(bào)文最小為15字節(jié)，而返回的請(qǐng)求數(shù)據(jù)達(dá)到105萬字節(jié)，理論上可放大到接近7萬倍。如此強(qiáng)悍的放大攻擊，與其他各類DRDoS攻擊形成斷崖式的差距對(duì)比。

Memcached攻擊防護(hù)加固建議

Memcached系統(tǒng)自查建議

攻擊的形成過程為我們提供了一個(gè)很好的預(yù)警思路，安全產(chǎn)品可針對(duì)Memcached的key-value配置進(jìn)行檢測，在Memcached系統(tǒng)被利用成為攻擊源之前就進(jìn)行攔截。檢測流程如下，技術(shù)建議詳見報(bào)告。

Memcached攻擊流量清洗

面對(duì)如此大規(guī)模、大范圍的DDoS攻擊威脅，所有網(wǎng)絡(luò)安全節(jié)點(diǎn)都應(yīng)該加強(qiáng)防范，從攻擊防護(hù)和外發(fā)清洗兩方面入手，充分保障基礎(chǔ)設(shè)施和業(yè)務(wù)流量的安全。針對(duì)此攻擊，我們提供如下防護(hù)建議，技術(shù)建議詳見報(bào)告。

· 運(yùn)營商。運(yùn)營商及IDC處于網(wǎng)絡(luò)上游，擁有強(qiáng)大的帶寬資源，是攻擊最直接的受害者，也是防護(hù)的第一道屏障。運(yùn)營商能夠靈活控制路由策略和防護(hù)策略進(jìn)行快速過濾。

· 企業(yè)用戶。企業(yè)用戶通常貼近服務(wù)終端，熟悉掌握自身業(yè)務(wù)流量特點(diǎn)，策略配置更加明確，靈活性強(qiáng)。

Memcached系統(tǒng)防護(hù)加固

對(duì)于正在使用Memcached系統(tǒng)的用戶，為了避免被攻擊者利用，使Memcached成為攻擊源，對(duì)外發(fā)起攻擊流量，影響自身系統(tǒng)性能，我們提供如下幾點(diǎn)建議。

1)在邊界網(wǎng)絡(luò)設(shè)備上配置URPF策略，過濾外發(fā)的虛假源IP報(bào)文;

2)在Memcached系統(tǒng)前進(jìn)行深度檢測，直接過濾報(bào)文特征中set key 0 900 64000的第三個(gè)字段過大的數(shù)據(jù)包，這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進(jìn)行攔截;

3)對(duì)Memcached服務(wù)進(jìn)行安全檢查，查看Memcached服務(wù)是否監(jiān)聽UDP端口。查找Memcached進(jìn)程，查看是否有-l參數(shù)，如果沒有則默認(rèn)為0.0.0.0。若Memcached服務(wù)不需要監(jiān)聽UDP，禁用UDP。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。