农企新闻网

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技结合报告揭露真相

发布者:何夕东
导读近日, 国际外多家平安公司和机构发布了Memcached超级DRDoS(Distributed Reflection Denial of Service)攻击的预警,引发各方关注。明天中国电信云堤与绿盟科技结合发布报告《深度分析Memcached 超大型DRDoS攻击》,报告指出从本周一至周五(2月26日至3月2日 06:00)短短5天内,全球就发作了79起应用Memcached协议的DDoS反射

近日, 国际外多家平安公司和机构发布了Memcached超级DRDoS(Distributed Reflection Denial of Service)攻击的预警,引发各方关注。明天中国电信云堤与绿盟 科技 结合发布报告《深度分析Memcached 超大型DRDoS攻击》,报告指出从本周一至周五(2月26日至3月2日 06:00)短短5天内,全球就发作了79起应用Memcached协议的DDoS反射缩小攻击。日攻击总流量最高到达419TBytes。

深度分析Memcached 超大型DRDoS攻击

近日,国际外多家平安公司和机构发布了Memcached超级DRDoS(Distributed Reflection Denial of Service,散布式反射回绝效劳)攻击的预警,引发各方关注。据我们的监控显示,目前该攻击的最大峰值流量曾经到达了1.35T。而在2月27号,Memcached的反射攻击事情流量范围不过几百兆到最大500G左右。几日之隔,攻击峰值的历史纪录就迅速被翻倍刷新,并且攻击发作的频率从一天十几次到几百次,出现迸发式增长。这是要搞大事情!

其中,针对我国境内的Memcached反射缩小攻击就有68次,江苏、浙江两省被攻击频繁。针对我国境内的攻击,单次攻击最高攻击峰值达505Gbps。攻击继续工夫最长的一次发作在3月1日,继续1.2小时,总攻击流量达103.8TBytes。

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

其中,针对我国境内的Memcached反射缩小攻击就有68次,江苏、浙江两省被攻击频繁。针对我国境内的攻击,单次攻击最高攻击峰值达505Gbps。攻击继续工夫最长的一次发作在3月1日,继续1.2小时,总攻击流量达103.8TBytes。

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

Memcached散布状况

最新统计显示,全球总共有3790个Memcached效劳器被应用参与到这些Memcached反射缩小攻击。这些被应用反射源遍及于全球96个国度或地域范围内。其中,美国就占了全球的1/4。

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

散布在中国地域的被应用的Memcached效劳器位列第二位,占比12.7%。在中国各省份占比方下所示,广东、北京、浙江为TOP3。 绿盟要挟情报中心NTI (NSFOCUS Network Threat Intelligence,简称NTI)的统计后果显示,全球范围内存在被应用风险的Memcached效劳器为104,506台。散布状况如下:

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

从天文散布来看,美国可被应用的Memcached效劳器最多,其次是中国。

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

仅从缩小倍数来看,Memcached反射攻击的危害水平远远高于其他反射攻击类型,US-Cert提供的数据显示它可以完成51,000倍的缩小效果。

与其他反射攻击相比,Memcached如何完成这么多倍的缩小效果呢?其中的重要缘由就是Memcached的key-value功用。前文提到key-value的作用是决议存储容量的大小,正常状况下key-value的值通常不超越几千字节。当Memcached被攻击者应用作为反射器时,key-value的值经过修正可以到达100万字节以上。

这个攻击进程,我们经过实验室也停止了完好复现。

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

触发Memcached反射攻击的恳求报文最小为15字节,而前往的恳求数据到达105万字节,实际上可缩小到接近7万倍。如此强悍的缩小攻击,与其他各类DRDoS攻击构成断崖式的差距比照。

Memcached攻击防护加固建议

Memcached零碎自查建议

攻击的构成进程为我们提供了一个很好的预警思绪,平安产品可针对Memcached的key-value配置停止检测,在Memcached零碎被应用成为攻击源之前就停止阻拦。检测流程如下,技术建议详见报告。

Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

Memcached攻击流量清洗

面对如此大规模、大范围的DDoS攻击要挟,一切网络平安节点都应该增强防备,从攻击防护和外发清洗两方面动手,充沛保证根底设备和业务流量的平安。针对此攻击,我们提供如下防护建议,技术建议详见报告。

· 运营商。运营商及IDC处于网络下游,拥有弱小的带宽资源,是攻击最直接的受益者,也是防护的第一道屏障。运营商可以灵敏控制路由战略和防护战略停止疾速过滤。

· 企业用户。企业用户通常贴近效劳终端,熟习掌握本身业务流量特点,战略配置愈加明白,灵敏性强。

Memcached零碎防护加固

关于正在运用Memcached零碎的用户,为了防止被攻击者应用,使Memcached成为攻击源,对外发起攻击流量,影响本身零碎功能,我们提供如下几点建议。

1)在边界网络设备上配置URPF战略,过滤外发的虚伪源IP报文;

2)在Memcached零碎行进行深度检测,直接过滤报文特征中set key 0 900 64000的第三个字段过大的数据包,这样做可以在Memcached零碎被修正应用成为攻击源行进行阻拦;

3)对Memcached效劳停止平安反省,检查Memcached效劳能否监听UDP端口。查找Memcached进程,检查能否有-l参数,假如没有则默许为0.0.0.0。若Memcached效劳不需求监听UDP,禁用UDP。