域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過
基于Memcached服務(wù)的反射攻擊,由于其 5萬倍的反射比例,從一開始出現(xiàn)就成為DDoS攻擊界的“新寵”。隨著Memcached反射攻擊方式被黑客了解和掌握,利用Memcached服務(wù)器實(shí)施反射DDOS攻擊的事件呈大幅上升趨勢(shì)。2018年2月28日,知名代碼托管網(wǎng)站GitHub遭受了Memcached DRDoS攻擊,最大峰值流量達(dá)到了驚人的 1.35T,Memcached DRDoS攻擊迅速引起安全廠商重視。近期,針對(duì)其最新動(dòng)態(tài)百度安全發(fā)布了 Memcached DRDoS攻擊趨勢(shì)報(bào)告。
Memcached DRDoS攻擊數(shù)量逐漸增多,宿遷地區(qū)成重災(zāi)區(qū)
Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量Memcached服務(wù)器(一種分布式緩存系統(tǒng))存在的認(rèn)證和設(shè)計(jì)缺陷,攻擊者通過向Memcached服務(wù)器 IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包,使Memcached服務(wù)器向受害者 IP地址返回比請(qǐng)求數(shù)據(jù)包大的數(shù)據(jù),從而進(jìn)行反射攻擊。百度安全通過監(jiān)測(cè)發(fā)現(xiàn),從2018年2月25號(hào)開始,Memcached DRDoS攻擊數(shù)量逐漸增多,3月初,Memcached DRDoS攻擊只占總體攻擊的5%,三月中旬以后,逐漸超過10%,現(xiàn)在穩(wěn)定在10%-20%之間波動(dòng),最近一周增長(zhǎng)到30%。
通過對(duì)采樣的反射源產(chǎn)生的攻擊包進(jìn)行聚類匯總發(fā)現(xiàn),中國(guó)占比最高,美國(guó),俄羅斯緊隨其后,國(guó)內(nèi)分布的狀況則是杭州的反射源產(chǎn)生的攻擊包最多。抽樣分析反射源使用的Memcached版本發(fā)現(xiàn)1.4.15使用占比最多,通過對(duì)攻擊者使用Memcached DRDoS的攻擊目標(biāo)進(jìn)行分析發(fā)現(xiàn)宿遷地區(qū)遭受的攻擊最多。
放大倍數(shù)可達(dá)十幾萬倍,危害程度遠(yuǎn)高于其他反射攻擊類型
從放大倍數(shù)來看,Memcached反射攻擊的危害程度遠(yuǎn)遠(yuǎn)高于其他反射攻擊類型。CF在2月份發(fā)布文章稱,檢測(cè)到發(fā)送15字節(jié)的包,收到750k字節(jié)的包,從而計(jì)算出反射倍數(shù)是51200倍。CF提出的5萬倍僅僅是按響應(yīng)數(shù)據(jù)與請(qǐng)求數(shù)據(jù)的比例計(jì)算得到的,但DDoS攻擊消耗的是網(wǎng)絡(luò)帶寬資源,所以真實(shí)的放大倍數(shù)必須考慮數(shù)據(jù)包的實(shí)際網(wǎng)絡(luò)數(shù)據(jù)流長(zhǎng)度。按照CF檢測(cè)到的數(shù)據(jù)重新計(jì)算,750字節(jié)產(chǎn)生的網(wǎng)絡(luò)流量達(dá)到804205.7,實(shí)際反射倍數(shù)則是9573.9倍。但不管怎么樣的差距,都不會(huì)影響Memcached反射攻擊成為DRDoS的TOP 1。當(dāng)然事實(shí)上,即使如何嚴(yán)謹(jǐn)?shù)挠?jì)算放大倍數(shù),此類攻擊還是有進(jìn)一步放大的案例。
Memcached的VALUE默認(rèn)設(shè)置的最大長(zhǎng)度是1Mbyte。單個(gè)get a請(qǐng)求后可實(shí)現(xiàn)的反射倍數(shù)達(dá)到13071.5倍。雖然直接調(diào)大VALUE的值放大倍數(shù)還不足2萬倍,但通過一些攻擊技巧還是能實(shí)現(xiàn)反射倍數(shù)達(dá)到十幾萬倍,百度安全近期就捕獲到使用了一種技巧實(shí)現(xiàn)了這樣的放大效果的攻擊事件。攻擊者在一個(gè)請(qǐng)求中,使用了多次查詢,通過在一個(gè)UDP包中執(zhí)行多條get指令,Memcached服務(wù)器返回大量的多條數(shù)據(jù)包,由于UDP包本身的長(zhǎng)度要占用66字節(jié),通過這樣的節(jié)省UDP包發(fā)送條數(shù)的手法,達(dá)到比之前單條發(fā)送要放大更多倍的效果,實(shí)際捕獲的攻擊實(shí)例中反射倍數(shù)為26471.4倍。理論上這不是最高的放大倍數(shù),當(dāng)GET指令的個(gè)數(shù)增加時(shí),反射比例還會(huì)增大,加上優(yōu)化payload,最終能實(shí)現(xiàn)十幾萬倍的反射效果。實(shí)際的環(huán)境中,反射比例要小的多,一方面,是由于Memcached服務(wù)器的性能決定,另一方面UDP存在一定比例的丟包,甚至還有空響應(yīng)的。
加固Memcached系統(tǒng)防護(hù),遏制反射攻擊危害
面對(duì)規(guī)模如此之大、危害如此之高的Memcached反射攻擊,百度安全專家向Memcached系統(tǒng)用戶提出了幾點(diǎn)防護(hù)建議。
1、在Memcached服務(wù)器或者其上聯(lián)的網(wǎng)絡(luò)設(shè)備上配置防火墻策略,僅允許授權(quán)的業(yè)務(wù)IP地址訪問Memcached服務(wù)器,攔截非法的訪問。
2、更改Memcached服務(wù)的監(jiān)聽端口為11211之外的其他大端口,避免針對(duì)默認(rèn)端口的惡意利用。
3、除非特殊必要,不開啟Memcached UDP服務(wù),最新版本的Memcached已經(jīng)默認(rèn)不開啟UDP服務(wù)。
4、升級(jí)到最新的Memcached軟件版本,配置啟用SASL認(rèn)證等權(quán)限控制策略(在編譯安裝Memcached程序時(shí)添加-enable-sasl選項(xiàng),并且在啟動(dòng)Memcached服務(wù)程序時(shí)添加-S參數(shù),啟用SASL認(rèn)證機(jī)制以提升Memcached的安全性。
Memcached反射攻擊可高達(dá)十幾萬倍的反射能力,不僅對(duì)攻擊目標(biāo)造成極大的損害,也會(huì)大大增加反射源的負(fù)載而影響自有業(yè)務(wù)運(yùn)行。黑客的攻擊無時(shí)不在,服務(wù)提供者、IDC和云平臺(tái)要時(shí)刻提高安全意識(shí),同時(shí)還需要在服務(wù)端做好防御準(zhǔn)備,比如增加 ACL過濾規(guī)則和 DDoS清洗服務(wù)。此外,百度智云盾通過設(shè)置開放服務(wù)白名單的方式對(duì)所有入向流量進(jìn)行校驗(yàn),不符合白名單的開放服務(wù)地址來源流量都被黑洞,有效的遏制了反射攻擊的危害。未來,智云盾將持續(xù)跟蹤Memcached反射攻擊威脅態(tài)勢(shì),完善安全威脅監(jiān)測(cè)和防御能力,為網(wǎng)站安全保駕護(hù)航。(作者:李冉)
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!