Memcached超大型DRDoS攻击中国电信云堤与绿盟科技结合报告揭露真相

2024-09-22 03:58:09

导读近日，国际外多家平安公司和机构发布了Memcached超级DRDoS（Distributed Reflection Denial of Service）攻击的预警，引发各方关注。明天中国电信云堤与绿盟科技结合发布报告《深度分析Memcached 超大型DRDoS攻击》，报告指出从本周一至周五（2月26日至3月2日 06:00）短短5天内，全球就发作了79起应用Memcached协议的DDoS反射

近日，国际外多家平安公司和机构发布了Memcached超级DRDoS（Distributed Reflection Denial of Service）攻击的预警，引发各方关注。明天中国电信云堤与绿盟科技结合发布报告《深度分析Memcached 超大型DRDoS攻击》，报告指出从本周一至周五（2月26日至3月2日 06:00）短短5天内，全球就发作了79起应用Memcached协议的DDoS反射缩小攻击。日攻击总流量最高到达419TBytes。

深度分析Memcached 超大型DRDoS攻击

近日，国际外多家平安公司和机构发布了Memcached超级DRDoS（Distributed Reflection Denial of Service，散布式反射回绝效劳）攻击的预警，引发各方关注。据我们的监控显示，目前该攻击的最大峰值流量曾经到达了1.35T。而在2月27号，Memcached的反射攻击事情流量范围不过几百兆到最大500G左右。几日之隔，攻击峰值的历史纪录就迅速被翻倍刷新，并且攻击发作的频率从一天十几次到几百次，出现迸发式增长。这是要搞大事情！

其中，针对我国境内的Memcached反射缩小攻击就有68次，江苏、浙江两省被攻击频繁。针对我国境内的攻击，单次攻击最高攻击峰值达505Gbps。攻击继续工夫最长的一次发作在3月1日，继续1.2小时，总攻击流量达103.8TBytes。

Memcached超大型DRDoS攻击中国电信云堤与绿盟科技联合报告揭露真相

其中，针对我国境内的Memcached反射缩小攻击就有68次，江苏、浙江两省被攻击频繁。针对我国境内的攻击，单次攻击最高攻击峰值达505Gbps。攻击继续工夫最长的一次发作在3月1日，继续1.2小时，总攻击流量达103.8TBytes。

Memcached超大型DRDoS攻击中国电信云堤与绿盟科技联合报告揭露真相

Memcached散布状况

最新统计显示，全球总共有3790个Memcached效劳器被应用参与到这些Memcached反射缩小攻击。这些被应用反射源遍及于全球96个国度或地域范围内。其中，美国就占了全球的1/4。

Memcached超大型DRDoS攻击中国电信云堤与绿盟科技联合报告揭露真相

散布在中国地域的被应用的Memcached效劳器位列第二位，占比12.7%。在中国各省份占比方下所示，广东、北京、浙江为TOP3。绿盟要挟情报中心NTI （NSFOCUS Network Threat Intelligence，简称NTI）的统计后果显示，全球范围内存在被应用风险的Memcached效劳器为104,506台。散布状况如下：

Memcached超大型DRDoS攻击中国电信云堤与绿盟科技联合报告揭露真相

从天文散布来看，美国可被应用的Memcached效劳器最多，其次是中国。

Memcached超大型DRDoS攻击中国电信云堤与绿盟科技联合报告揭露真相

仅从缩小倍数来看，Memcached反射攻击的危害水平远远高于其他反射攻击类型，US-Cert提供的数据显示它可以完成51,000倍的缩小效果。

与其他反射攻击相比，Memcached如何完成这么多倍的缩小效果呢？其中的重要缘由就是Memcached的key-value功用。前文提到key-value的作用是决议存储容量的大小，正常状况下key-value的值通常不超越几千字节。当Memcached被攻击者应用作为反射器时，key-value的值经过修正可以到达100万字节以上。

这个攻击进程，我们经过实验室也停止了完好复现。

Memcached超大型DRDoS攻击中国电信云堤与绿盟科技联合报告揭露真相

触发Memcached反射攻击的恳求报文最小为15字节，而前往的恳求数据到达105万字节，实际上可缩小到接近7万倍。如此强悍的缩小攻击，与其他各类DRDoS攻击构成断崖式的差距比照。

Memcached攻击防护加固建议

Memcached零碎自查建议

攻击的构成进程为我们提供了一个很好的预警思绪，平安产品可针对Memcached的key-value配置停止检测，在Memcached零碎被应用成为攻击源之前就停止阻拦。检测流程如下，技术建议详见报告。

Memcached超大型DRDoS攻击中国电信云堤与绿盟科技联合报告揭露真相

Memcached攻击流量清洗

面对如此大规模、大范围的DDoS攻击要挟，一切网络平安节点都应该增强防备，从攻击防护和外发清洗两方面动手，充沛保证根底设备和业务流量的平安。针对此攻击，我们提供如下防护建议，技术建议详见报告。

· 运营商。运营商及IDC处于网络下游，拥有弱小的带宽资源，是攻击最直接的受益者，也是防护的第一道屏障。运营商可以灵敏控制路由战略和防护战略停止疾速过滤。

· 企业用户。企业用户通常贴近效劳终端，熟习掌握本身业务流量特点，战略配置愈加明白，灵敏性强。

Memcached零碎防护加固

关于正在运用Memcached零碎的用户，为了防止被攻击者应用，使Memcached成为攻击源，对外发起攻击流量，影响本身零碎功能，我们提供如下几点建议。

1）在边界网络设备上配置URPF战略，过滤外发的虚伪源IP报文；

2）在Memcached零碎行进行深度检测，直接过滤报文特征中set key 0 900 64000的第三个字段过大的数据包，这样做可以在Memcached零碎被修正应用成为攻击源行进行阻拦；

3）对Memcached效劳停止平安反省，检查Memcached效劳能否监听UDP端口。查找Memcached进程，检查能否有-l参数，假如没有则默许为0.0.0.0。若Memcached效劳不需求监听UDP，禁用UDP。

免责声明：本文章由会员“何夕东”发布如果文章侵权，请联系我们处理，本站仅提供信息存储空间服务如因作品内容、版权和其他问题请于本站联系

标签：

上一篇：“一部手机游云南”在京发布 QQ阅读器“识你所见”助力游客智能游云南

下一篇：酷我造谣：无任何方式ICO方案；姚劲波谈区块链：最近开端招募人才；马化腾称要看到游戏的正面性…