近日， 國內(nèi)外多家安全公司和機構(gòu)發(fā)布了Memcached超級DRDoS(Distributed Reflection Denial of Service)攻擊的預(yù)警，引發(fā)各方關(guān)注。今天中國電信云堤與綠盟科技聯(lián)合發(fā)布報告《深度剖析Memcached 超大型DRDoS攻擊》，報告指出從本周一至周五(2月26日至3月2日 06:00)短短5天內(nèi)，全球就發(fā)生了79起利用Memcached協(xié)議的DDoS反射放大攻擊。日攻擊總流量最高達到419TBytes。

深度剖析Memcached 超大型DRDoS攻擊

近日，國內(nèi)外多家安全公司和機構(gòu)發(fā)布了Memcached超級DRDoS(Distributed Reflection Denial of Service，分布式反射拒絕服務(wù))攻擊的預(yù)警，引發(fā)各方關(guān)注。據(jù)我們的監(jiān)控顯示，目前該攻擊的最大峰值流量已經(jīng)達到了1.35T。而在2月27號，Memcached的反射攻擊事件流量范圍不過幾百兆到最大500G左右。幾日之隔，攻擊峰值的歷史紀錄就迅速被翻倍刷新，并且攻擊發(fā)生的頻率從一天十幾次到幾百次，呈現(xiàn)爆發(fā)式增長。這是要搞大事情!

其中，針對我國境內(nèi)的Memcached反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達505Gbps。攻擊持續(xù)時間最長的一次發(fā)生在3月1日，持續(xù)1.2小時，總攻擊流量達103.8TBytes。

其中，針對我國境內(nèi)的Memcached反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達505Gbps。攻擊持續(xù)時間最長的一次發(fā)生在3月1日，持續(xù)1.2小時，總攻擊流量達103.8TBytes。

Memcached分布情況

最新統(tǒng)計顯示，全球總共有3790個Memcached服務(wù)器被利用參與到這些Memcached反射放大攻擊。這些被利用反射源遍布于全球96個國家或地區(qū)范圍內(nèi)。其中，美國就占了全球的1/4。

分布在中國地區(qū)的被利用的Memcached服務(wù)器位列第二位，占比12.7%。在中國各省份占比如下所示，廣東、北京、浙江為TOP3。 綠盟威脅情報中心NTI (NSFOCUS Network Threat Intelligence，簡稱NTI)的統(tǒng)計結(jié)果顯示，全球范圍內(nèi)存在被利用風險的Memcached服務(wù)器為104,506臺。分布情況如下：

從地理分布來看，美國可被利用的Memcached服務(wù)器最多，其次是中國。

僅從放大倍數(shù)來看，Memcached反射攻擊的危害程度遠遠高于其他反射攻擊類型，US-Cert提供的數(shù)據(jù)顯示它能夠?qū)崿F(xiàn)51,000倍的放大效果。

與其他反射攻擊相比，Memcached如何實現(xiàn)這么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能。前文提到key-value的作用是決定存儲容量的大小，正常情況下key-value的值通常不超過幾千字節(jié)。當Memcached被攻擊者利用作為反射器時，key-value的值經(jīng)過修改可以達到100萬字節(jié)以上。

這個攻擊過程，我們通過實驗室也進行了完整復現(xiàn)。

觸發(fā)Memcached反射攻擊的請求報文最小為15字節(jié)，而返回的請求數(shù)據(jù)達到105萬字節(jié)，理論上可放大到接近7萬倍。如此強悍的放大攻擊，與其他各類DRDoS攻擊形成斷崖式的差距對比。

Memcached攻擊防護加固建議

Memcached系統(tǒng)自查建議

攻擊的形成過程為我們提供了一個很好的預(yù)警思路，安全產(chǎn)品可針對Memcached的key-value配置進行檢測，在Memcached系統(tǒng)被利用成為攻擊源之前就進行攔截。檢測流程如下，技術(shù)建議詳見報告。

Memcached攻擊流量清洗

面對如此大規(guī)模、大范圍的DDoS攻擊威脅，所有網(wǎng)絡(luò)安全節(jié)點都應(yīng)該加強防范，從攻擊防護和外發(fā)清洗兩方面入手，充分保障基礎(chǔ)設(shè)施和業(yè)務(wù)流量的安全。針對此攻擊，我們提供如下防護建議，技術(shù)建議詳見報告。

· 運營商。運營商及IDC處于網(wǎng)絡(luò)上游，擁有強大的帶寬資源，是攻擊最直接的受害者，也是防護的第一道屏障。運營商能夠靈活控制路由策略和防護策略進行快速過濾。

· 企業(yè)用戶。企業(yè)用戶通常貼近服務(wù)終端，熟悉掌握自身業(yè)務(wù)流量特點，策略配置更加明確，靈活性強。

Memcached系統(tǒng)防護加固

對于正在使用Memcached系統(tǒng)的用戶，為了避免被攻擊者利用，使Memcached成為攻擊源，對外發(fā)起攻擊流量，影響自身系統(tǒng)性能，我們提供如下幾點建議。

1)在邊界網(wǎng)絡(luò)設(shè)備上配置URPF策略，過濾外發(fā)的虛假源IP報文;

2)在Memcached系統(tǒng)前進行深度檢測，直接過濾報文特征中set key 0 900 64000的第三個字段過大的數(shù)據(jù)包，這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進行攔截;

3)對Memcached服務(wù)進行安全檢查，查看Memcached服務(wù)是否監(jiān)聽UDP端口。查找Memcached進程，查看是否有-l參數(shù)，如果沒有則默認為0.0.0.0。若Memcached服務(wù)不需要監(jiān)聽UDP，禁用UDP。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。