其中���,針對(duì)我國(guó)境內(nèi)的Memcached反射放大攻擊就有68次,江蘇���、浙江兩省被攻擊頻繁��。針對(duì)我國(guó)境內(nèi)的攻擊��,單次攻擊最高攻擊峰值達(dá)505Gbps�。攻擊持續(xù)時(shí)間最長(zhǎng)的一次發(fā)生在3月1日���,持續(xù)1.2小時(shí)�,總攻擊流量達(dá)103.8TBytes�。
Memcached分布情況
最新統(tǒng)計(jì)顯示,全球總共有3790個(gè)Memcached服務(wù)器被利用參與到這些Memcached反射放大攻擊����。這些被利用反射源遍布于全球96個(gè)國(guó)家或地區(qū)范圍內(nèi)�����。其中����,美國(guó)就占了全球的1/4���。
分布在中國(guó)地區(qū)的被利用的Memcached服務(wù)器位列第二位��,占比12.7%��。在中國(guó)各省份占比如下所示���,廣東、北京���、浙江為T(mén)OP3���。 綠盟威脅情報(bào)中心NTI (NSFOCUS Network Threat Intelligence,簡(jiǎn)稱(chēng)NTI)的統(tǒng)計(jì)結(jié)果顯示��,全球范圍內(nèi)存在被利用風(fēng)險(xiǎn)的Memcached服務(wù)器為104,506臺(tái)����。分布情況如下:
從地理分布來(lái)看,美國(guó)可被利用的Memcached服務(wù)器最多�����,其次是中國(guó)�。
僅從放大倍數(shù)來(lái)看,Memcached反射攻擊的危害程度遠(yuǎn)遠(yuǎn)高于其他反射攻擊類(lèi)型���,US-Cert提供的數(shù)據(jù)顯示它能夠?qū)崿F(xiàn)51,000倍的放大效果�����。
與其他反射攻擊相比���,Memcached如何實(shí)現(xiàn)這么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能�。前文提到key-value的作用是決定存儲(chǔ)容量的大小,正常情況下key-value的值通常不超過(guò)幾千字節(jié)����。當(dāng)Memcached被攻擊者利用作為反射器時(shí),key-value的值經(jīng)過(guò)修改可以達(dá)到100萬(wàn)字節(jié)以上����。
這個(gè)攻擊過(guò)程�����,我們通過(guò)實(shí)驗(yàn)室也進(jìn)行了完整復(fù)現(xiàn)���。
觸發(fā)Memcached反射攻擊的請(qǐng)求報(bào)文最小為15字節(jié),而返回的請(qǐng)求數(shù)據(jù)達(dá)到105萬(wàn)字節(jié)��,理論上可放大到接近7萬(wàn)倍�����。如此強(qiáng)悍的放大攻擊�,與其他各類(lèi)DRDoS攻擊形成斷崖式的差距對(duì)比。
Memcached攻擊防護(hù)加固建議
Memcached系統(tǒng)自查建議
攻擊的形成過(guò)程為我們提供了一個(gè)很好的預(yù)警思路��,安全產(chǎn)品可針對(duì)Memcached的key-value配置進(jìn)行檢測(cè)����,在Memcached系統(tǒng)被利用成為攻擊源之前就進(jìn)行攔截。檢測(cè)流程如下�����,技術(shù)建議詳見(jiàn)報(bào)告����。
Memcached攻擊流量清洗
面對(duì)如此大規(guī)模、大范圍的DDoS攻擊威脅����,所有網(wǎng)絡(luò)安全節(jié)點(diǎn)都應(yīng)該加強(qiáng)防范,從攻擊防護(hù)和外發(fā)清洗兩方面入手�,充分保障基礎(chǔ)設(shè)施和業(yè)務(wù)流量的安全。針對(duì)此攻擊���,我們提供如下防護(hù)建議����,技術(shù)建議詳見(jiàn)報(bào)告���。
· 運(yùn)營(yíng)商���。運(yùn)營(yíng)商及IDC處于網(wǎng)絡(luò)上游,擁有強(qiáng)大的帶寬資源����,是攻擊最直接的受害者�,也是防護(hù)的第一道屏障�。運(yùn)營(yíng)商能夠靈活控制路由策略和防護(hù)策略進(jìn)行快速過(guò)濾。
· 企業(yè)用戶�。企業(yè)用戶通常貼近服務(wù)終端,熟悉掌握自身業(yè)務(wù)流量特點(diǎn)����,策略配置更加明確,靈活性強(qiáng)�。
Memcached系統(tǒng)防護(hù)加固
對(duì)于正在使用Memcached系統(tǒng)的用戶,為了避免被攻擊者利用����,使Memcached成為攻擊源,對(duì)外發(fā)起攻擊流量�����,影響自身系統(tǒng)性能����,我們提供如下幾點(diǎn)建議。
1)在邊界網(wǎng)絡(luò)設(shè)備上配置URPF策略����,過(guò)濾外發(fā)的虛假源IP報(bào)文�;
2)在Memcached系統(tǒng)前進(jìn)行深度檢測(cè)��,直接過(guò)濾報(bào)文特征中set key 0 900 64000的第三個(gè)字段過(guò)大的數(shù)據(jù)包���,這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進(jìn)行攔截;
3)對(duì)Memcached服務(wù)進(jìn)行安全檢查�,查看Memcached服務(wù)是否監(jiān)聽(tīng)UDP端口。查找Memcached進(jìn)程�,查看是否有-l參數(shù),如果沒(méi)有則默認(rèn)為0.0.0.0����。若Memcached服務(wù)不需要監(jiān)聽(tīng)UDP,禁用UDP�。
