昨天,360网络安全响应中心(360 cert)发出预警,称监测到一种利用memcache作为drdos放大器进行放大的超大规模ddos攻击,这种反射型ddos攻击能够达到5万倍的放大系数,犯罪分子可利用memcache服务器通过非常少的计算资源发动超大规模的ddos攻击。
360 cert表示目前全球多个云服务器均遭到攻击,未来可能有更多利用memcached进行drdos的事件发生。
实际上,早在2017年6月,360信息安全部0kee team就发现了这种利用memcache放大的攻击技术,并在2017年11月通过poc 2017安全会议对安全社区做出了预警。360 cert quake全网测绘显示,目前在外开放的memcache存储系统数量级在十万左右,都可能会受到此类攻击影响。从国家分布上来看,开放主机数量上,美国第一,中国第二,但受影响的数量却相反。
ddos攻击是通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。举例来说,就是一个正常营业的商铺,被大量假冒的顾客占满了,没有办法为真正的顾客提供服务,这个商铺就是ddos攻击的受害者。
360 cert团队介绍,这种利用memcache作为drdos放大器进行放大的ddos攻击,利用memcached协议,发送大量带有被害者ip地址的udp数据包给放大器主机,然后放大器主机对伪造的ip地址源做出大量回应,形成分布式拒绝服务攻击,从而形成drdos反射。
据了解,在近几日发现的利用memcache放大的攻击事件中,攻击者向端口11211上的 memcache服务器发送小字节请求。由于 udp协议并未正确执行,因此 memcache服务器并未以类似或更小的包予以响应,而是以有时候比原始请求大数千倍的包予以响应。也就是说攻击者能诱骗 memcache服务器将过大规模的响应包发送给受害者。
memcache攻击放大系数可高达5万倍
这种类型的 ddos攻击被称为“反射型 ddos”或“反射 ddos”。响应数据包被放大的倍数被称为 ddos攻击的“放大系数”。目前常见反射类ddos攻击的放大系数,一般是20到100之间。放大系数超过1000的反射型 ddos攻击本身就非常罕见,而本次高达5万倍放大系数被实际应用在ddos攻击战场上,是ddos历史上首次出现的超高倍数ddos攻击事件,可以说是核弹级的攻击手法。
这也是本次memcrashed技术特点之一——反射倍数较大,已经确认可以稳定的达到5万倍,此外,本次攻击事件的反射点带宽充裕,且主要来自idc机房服务器。
最近一周,利用memcache放大的攻击事件迅速上升,攻击频率从每天不足50件爆发式上升到每天300~400件,而实际现网中,已经出现了 0.5tbps 的攻击。360cert表示,可能有更大的攻击案例并未被公开报道。
在接下来的一段时间内,360安全团队预计会出现更多利用memcached进行drdos的事件,如果本次攻击效果被其他ddos团队所效仿,将会带来后果更严重的攻击。因此,360安全专家对于memcache使用者给出几条建议:
1.memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组。
2.为预防机器器扫描和ssrf等攻击,修改memcache默认监听端口。
3.升级到最新版本的memcache,并且使用sasl设置密码来进行权限控制。
对于网络层防御,360安全专家表示目前已有包括ntt在内的多个国外isp已经对udp11211进行限速。同时,安全专家表示,互联网服务提供商应当禁止在网络上执行ip欺骗。ip欺骗drdos的根本原因。具体措施可以参考bcp38。
此外,安全专家也建议isp应允许用户使用 bgp flowspec 限制入站udp11211的流量,以减轻大型drdos攻击时的拥堵。
详细报告地址:
