犯罪分子可利用Memcache服务器通过非常少的计算资源发动超大规模的DDoS攻击,这种类型的 DDoS攻击之所以有可能实现,是因为 Memcache开发人员在产品中实现对 UDP协议支持的方式不安全,更糟糕的是Memcache服务器还会在默认配置中将 UDP端口暴露给外部链接,也就是说未受防火墙保护的任何 Memcache服务器均可被用于发动 DDoS攻击。
Memcache服务器可用于发动反射型 DDoS攻击原理
犯罪分子向端口11211上的 Memcache服务器发送小字节请求。由于 UDP协议并未正确执行,因此 Memcache服务器并未以类似或更小的包予以响应,而是以有时候比原始请求大数千倍的包予以响应,由于 UDP协议即包的原始 IP地址能轻易遭欺骗,也就是说攻击者能诱骗 Memcache服务器将过大规模的响应包发送给另外一个 IP地址即 DDoS攻击的受害者的 IP地址,这种类型的 DDoS攻击被称为“反射型 DDoS”或“反射 DDoS”,响应数据包被放大的倍数被称为 DDoS攻击的“放大系数”。
Memcache放大系数可达到51,200
从一枚子弹变成一颗核弹,从一滴水变成汪洋大海,这种情况是否只存在于大家的想象之中?本周,信息安全部0kee Team监测到一种利用Memcache的超大规模DDoS攻击事件,攻击者只需向Memcache服务器发送小字节请求,就可诱骗服务器将数万倍的响应数据包发送给被攻击者,形成DDoS攻击。
超大规模的DDoS攻击如何防御呢?
运营商上层Memcached攻击流量清洗
面对如此大规模、大范围的DDoS攻击威胁,所有网络安全节点都应该加强防范,从攻击防护和外发清洗两方面入手,充分保障基础设施和业务流量的安全,针对此攻击,我们提供如下防护建议,技术建议向网泰科技咨询。
· 运营商:运营商及网泰科技IDC服务器商处于网络上游,拥有强大的带宽资源,是攻击最直接的受害者,也是防护的第一道屏障(chinaddos防火墙),运营商能够灵活控制路由策略和防护策略进行快速过滤。
· 企业用户,企业用户通常贴近服务终端,熟悉掌握自身业务流量特点,策略配置更加明确,灵活性强。
Memcached系统防护加固
对于正在使用Memcached系统的用户,为了避免被攻击者利用,使Memcached成为攻击源,对外发起攻击流量,影响自身系统性能,我们提供如下几点建议。
1)在边界网络设备上配置URPF策略,过滤外发的虚假源IP报文;
2)在Memcached系统前进行深度检测,直接过滤报文特征中set key 0 900 64000的第三个字段过大的数据包,这样做可以在Memcached系统被修改利用成为攻击源前进行拦截;
3)对Memcached服务进行安全检查,查看Memcached服务是否监听UDP端口。查找Memcached进程,查看是否有-l参数,如果没有则默认为0.0.0.0。若Memcached服务不需要监听UDP,禁用UDP。
后话总结:
要为自己的服务器选择一个合适的配置,要考虑IDC公司、线路、带宽、防御、机器硬件配置,机型+CPU+内存+硬盘等等,因为不同业务所考虑的核心点不大一样,所以我们需要抓住最核心的开始考虑,如开游戏、视频多人聊天、下载客户先考虑机房带宽防御,企业客户先考虑企业资质服务正规情况在考虑带宽充足情况等,根据自身不同的情况个性化选择针对性的配置才能达到最合适。
------本文有Mr.老白编辑.如有问题随时联系我咨询。