架构师_程序员

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4839|回复: 2

[安全漏洞] 阿里云成功防御国内最大规模Memcached DDoS反射攻击

[复制链接]
跳转到指定楼层
楼主
发表于 2018-3-2 09:40:24
zu
本周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。昨天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。



如下是Memcached型反射型DDoS攻击的抓包样本,从UDP协议+源端口11211的特征,可以快速分辨这种攻击类型。



这种攻击,发起攻击者伪造成受害者的IP对互联网上可以被利用的Memcached的服务发起大量请求,Memcached对请求回应。大量的回应报文汇聚到被伪造的IP地址源(也就是受害者),形成反射型分布式拒绝服务攻击。

令人担忧的一点是,利用Memcached可以数万倍的放大报文,即返回的报文大小是请求大小的数万倍,攻击者可以利用非常少的带宽即可发起流量巨大的DDoS攻击。而NTP和SSDP反射攻击一般只能放大数十倍到数百倍。Memcached放大反射DDoS攻击因为其放大倍数能产生更大的破坏力。



攻击态势

随着利用Memcached进行DDoS攻击技术的公开,越来越多尝试使用Memcached进行反射的DDoS发生,并且此类型DDoS攻击正快速上升。

近期,黑客已经扫描并收集全球可以被利用的MemcachedIP,并出现大量试探性超大流量Memcached DDoS攻击,下一步Memcached大流量DDoS攻击将成熟化并大量出现,成为黑客新的利器。


当前互联网上的反射点数量及危害

整个互联网可以用于Memcached反射的IP达到数十万,为攻击者提供了海量的军火库。

随着超大流量DDoS发起难度降低,IDC和云服务商需要储备更多的网络带宽用于防御,中小型IDC将很难应对这种超大规模DDoS攻击,只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。

目前,阿里云已提供Memcached安全配置建议,并在安骑士提供修复引导,帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。



(1)  什么是Memcached?

Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。

(2)  Memcached业务场景?

如果网站包含了访问量很大的动态网页,那么数据库的负载将会很高。由于大部分数据库请求都是读操作,大部分读较高的业务系统采用Memcached减少数据库读,实现缓存功能可以显著地减小数据库负载,提升网站性能。

(3)  为什么Memcached会被利用与反射放大DDoS攻击?

- 由于Memcache(版本低于1.5.6)默认监听UDP,天然满足反射DDoS条件
- 很多用户将服务监听在0.0.0.0,且未进行iptables规则配置,这导致可以被任意来源IP请求
- Memcached反射的倍数达到数万倍,非常利于用于放大报文倍数行成超大流量的DDoS攻击

针对如何防范Memcached,阿里云安全专家有两个方面的建议:

首先,如何避免被利用成为Memcached反射端:

建议对运行的Memccached服务进行安全检查和加固,防止被黑客利用发起DDoS攻击造成不必要的带宽流量;

如果您的Memcached版本低于1.5.6,且不需要监听UDP。您可以重新启动Memcached 加入 -U 0启动参数,例如:Memcached -U 0,禁止监听在udp协议上

更多Memcached服务安全加固文档:
https://help.aliyun.com/knowledge_detail/37553.html

如果您购买了阿里云云盾安骑士,您可以在安骑士控制台根据引导进行修复。

第二,如何防护Memcached DDoS反射攻击

建议优化业务架构,将业务分散到多个IP上;
利用Memcached可以相对容易发起超大流量DDoS攻击,防御Memcached攻击需要储备足够的带宽。如果遇到大流量反射攻击,可以采购云清洗服务,并建议采用针对UDP反射进行过滤的云清洗服务。阿里云高防IP已推出UDP封堵服务。





上一篇:爱看影院 e4a源码 不无偿分享
下一篇:dumpbin查看DLL动态库接口函数
帖子永久地址: 

架构师_程序员 - 论坛版权1、本主题所有言论和图片纯属会员个人意见,与本论坛立场无关
2、本站所有主题由该帖子作者发表,该帖子作者与架构师_程序员享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者和架构师_程序员的同意
4、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、架构师_程序员管理员和版主有权不事先通知发贴者而删除本文

码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
沙发
发表于 2018-3-2 10:05:56
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
回复

使用道具 举报

板凳
发表于 2018-3-25 23:35:55
提示: 作者被禁止或删除 内容自动屏蔽
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|Archiver|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2019-12-6 01:14

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表