首個核彈級DDoS攻擊正在荼毒全球
責(zé)編:mhshi |2018-03-02 10:15:41360網(wǎng)絡(luò)安全響應(yīng)中心(360 Cert)發(fā)出預(yù)警,稱監(jiān)測到一種利用Memcache作為DRDoS放大器進(jìn)行放大的超大規(guī)模DDoS攻擊,這種反射型DDoS攻擊能夠達(dá)到5萬倍的放大系數(shù),犯罪分子可利用Memcache服務(wù)器通過非常少的計算資源發(fā)動超大規(guī)模的DDoS攻擊。
360 Cert表示目前全球多個云服務(wù)器均遭到攻擊,未來可能有更多利用Memcached進(jìn)行DRDoS的事件發(fā)生。
實際上,早在2017年6月,360信息安全部0kee Team就發(fā)現(xiàn)了這種利用Memcache放大的攻擊技術(shù),并在2017年11月通過PoC 2017安全會議對安全社區(qū)做出了預(yù)警。360 CERT QUAKE全網(wǎng)測繪顯示,目前在外開放的Memcache存儲系統(tǒng)數(shù)量級在十萬左右,都可能會受到此類攻擊影響。從國家分布上來看,開放主機(jī)數(shù)量上,美國第一,中國第二,但受影響的數(shù)量卻相反。
DDoS攻擊是通過大量合法的請求占用大量網(wǎng)絡(luò)資源,以達(dá)到癱瘓網(wǎng)絡(luò)的目的。舉例來說,就是一個正常營業(yè)的商鋪,被大量假冒的顧客占滿了,沒有辦法為真正的顧客提供服務(wù),這個商鋪就是DDoS攻擊的受害者。
360 CERT團(tuán)隊介紹,這種利用Memcache作為DRDoS放大器進(jìn)行放大的DDoS攻擊,利用Memcached協(xié)議,發(fā)送大量帶有被害者IP地址的UDP數(shù)據(jù)包給放大?主機(jī),然后放大?主機(jī)對偽造的IP地址源做出大量回應(yīng),形成分布式拒絕服務(wù)攻擊,從而形成DRDoS反射。
據(jù)了解,在近幾日發(fā)現(xiàn)的利用Memcache放大的攻擊事件中,攻擊者向端口11211上的 Memcache服務(wù)器發(fā)送小字節(jié)請求。由于 UDP協(xié)議并未正確執(zhí)行,因此 Memcache服務(wù)器并未以類似或更小的包予以響應(yīng),而是以有時候比原始請求大數(shù)千倍的包予以響應(yīng)。也就是說攻擊者能誘騙 Memcache服務(wù)器將過大規(guī)模的響應(yīng)包發(fā)送給受害者。
Memcache攻擊放大系數(shù)可高達(dá)5萬倍
這種類型的 DDoS攻擊被稱為“反射型 DDoS”或“反射 DDoS”。響應(yīng)數(shù)據(jù)包被放大的倍數(shù)被稱為 DDoS攻擊的“放大系數(shù)”。目前常見反射類DDoS攻擊的放大系數(shù),一般是20到100之間。放大系數(shù)超過1000的反射型 DDoS攻擊本身就非常罕見,而本次高達(dá)5萬倍放大系數(shù)被實際應(yīng)用在DDoS攻擊戰(zhàn)場上,是DDoS歷史上首次出現(xiàn)的超高倍數(shù)DDOS攻擊事件,可以說是核彈級的攻擊手法。
這也是本次Memcrashed技術(shù)特點之一——反射倍數(shù)較大,已經(jīng)確認(rèn)可以穩(wěn)定的達(dá)到5萬倍,此外,本次攻擊事件的反射點帶寬充裕,且主要來自IDC機(jī)房服務(wù)器。
最近一周,利用Memcache放大的攻擊事件迅速上升,攻擊頻率從每天不足50件爆發(fā)式上升到每天300~400件,而實際現(xiàn)網(wǎng)中,已經(jīng)出現(xiàn)了 0.5Tbps 的攻擊。360Cert表示,可能有更大的攻擊案例并未被公開報道。
在接下來的一段時間內(nèi),360安全團(tuán)隊預(yù)計會出現(xiàn)更多利用Memcached進(jìn)行DRDoS的事件,如果本次攻擊效果被其他DDoS團(tuán)隊所效仿,將會帶來后果更嚴(yán)重的攻擊。因此,360安全專家對于Memcache使用者給出幾條建議:
1.Memcache的用戶建議將服務(wù)放置于可信域內(nèi),有外網(wǎng)時不要監(jiān)聽 0.0.0.0,有特殊需求可以設(shè)置acl或者添加安全組。
2.為預(yù)防機(jī)器?掃描和ssrf等攻擊,修改memcache默認(rèn)監(jiān)聽端口。
3.升級到最新版本的memcache,并且使用SASL設(shè)置密碼來進(jìn)行權(quán)限控制。
對于網(wǎng)絡(luò)層防御,360安全專家表示目前已有包括NTT在內(nèi)的多個國外ISP已經(jīng)對UDP11211進(jìn)行限速。同時,安全專家表示,互聯(lián)網(wǎng)服務(wù)提供商應(yīng)當(dāng)禁止在網(wǎng)絡(luò)上執(zhí)行IP欺騙。IP欺騙DRDoS的根本原因。具體措施可以參考BCP38。
此外,安全專家也建議ISP應(yīng)允許用戶使用 BGP flowspec 限制入站UDP11211的流量,以減輕大型DRDoS攻擊時的擁堵
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!