本周, 阿里云安全 DDoS 监控中心数据显示, 利用 Memcached 进行 DDoS 攻击的趋势快速升温今天, 阿里云已经成功监控和防御一起流量高达 758.6Gbps 的 Memcached DDoS 反射攻击
如下是 Memcached 型反射型 DDoS 攻击的抓包样本, 从 UDP 协议 + 源端口 11211 的特征, 可以快速分辨这种攻击类型
这种攻击, 发起攻击者伪造成受害者的 IP 对互联网上可以被利用的 Memcached 的服务发起大量请求, Memcached 对请求回应大量的回应报文汇聚到被伪造的 IP 地址源 (也就是受害者), 形成反射型分布式拒绝服务攻击
令人担忧的一点是, 利用 Memcached 可以数万倍的放大报文, 即返回的报文大小是请求大小的数万倍, 攻击者可以利用非常少的带宽即可发起流量巨大的 DDoS 攻击而 NTP 和 SSDP 反射攻击一般只能放大数十倍到数百倍 Memcached 放大反射 DDoS 攻击因为其放大倍数能产生更大的破坏力
攻击态势
随着利用 Memcached 进行 DDoS 攻击技术的公开, 越来越多尝试使用 Memcached 进行反射的 DDoS 发生, 并且此类型 DDoS 攻击正快速上升
近期, 黑客已经扫描并收集全球可以被利用的 MemcachedIP, 并出现大量试探性超大流量 Memcached DDoS 攻击, 下一步 Memcached 大流量 DDoS 攻击将成熟化并大量出现, 成为黑客新的利器
当前互联网上的反射点数量及危害
整个互联网可以用于 Memcached 反射的 IP 达到数十万, 为攻击者提供了海量的军火库
随着超大流量 DDoS 发起难度降低, IDC 和云服务商需要储备更多的网络带宽用于防御, 中小型 IDC 将很难应对这种超大规模 DDoS 攻击, 只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对
目前, 阿里云已提供 Memcached 安全配置建议, 并在安骑士提供修复引导, 帮助云上用户修复 Memcached 风险高防 IP 中已提供 UDP 反射封禁服务
(1) 什么是 Memcached?
Memcached 是一个高性能的分布式内存对象缓存系统, 用于动态 web 应用以减轻数据库负载它通过在内存中缓存数据和对象来减少读取数据库的次数, 从而提高动态数据库驱动网站的速度
(2) Memcached 业务场景?
如果网站包含了访问量很大的动态网页, 那么数据库的负载将会很高由于大部分数据库请求都是读操作, 大部分读较高的业务系统采用 Memcached 减少数据库读, 实现缓存功能可以显著地减小数据库负载, 提升网站性能
(3) 为什么 Memcached 会被利用与反射放大 DDoS 攻击?
由于 Memcache(版本低于 1.5.6) 默认监听 UDP, 天然满足反射 DDoS 条件
很多用户将服务监听在 0.0.0.0, 且未进行 iptables 规则配置, 这导致可以被任意来源 IP 请求
Memcached 反射的倍数达到数万倍, 非常利于用于放大报文倍数行成超大流量的 DDoS 攻击
针对如何防范 Memcached, 阿里云安全专家有两个方面的建议:
首先, 如何避免被利用成为 Memcached 反射端:
建议对运行的 Memccached 服务进行安全检查和加固, 防止被黑客利用发起 DDoS 攻击造成不必要的带宽流量;
如果您的 Memcached 版本低于 1.5.6, 且不需要监听 UDP 您可以重新启动 Memcached 加入 -U 0 启动参数, 例如: Memcached -U 0, 禁止监听在 udp 协议上
更多 Memcached 服务安全加固文档:
https://help.aliyun.com/knowledge_detail/37553.html
如果您购买了阿里云云盾安骑士, 您可以在安骑士控制台根据引导进行修复
第二, 如何防护 Memcached DDoS 反射攻击
建议优化业务架构, 将业务分散到多个 IP 上;
利用 Memcached 可以相对容易发起超大流量 DDoS 攻击, 防御 Memcached 攻击需要储备足够的带宽如果遇到大流量反射攻击, 可以采购云清洗服务, 并建议采用针对 UDP 反射进行过滤的云清洗服务阿里云高防 IP 已推出 UDP 封堵服务
参考链接:
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
来源: https://yq.aliyun.com/articles/503688