域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

基于Memcached服務(wù)的反射攻擊，由于其 5萬倍的反射比例，從一開始出現(xiàn)就成為DDoS攻擊界的“新寵”。隨著Memcached反射攻擊方式被黑客了解和掌握，利用Memcached服務(wù)器實(shí)施反射DDOS攻擊的事件呈大幅上升趨勢。2018年2月28日，知名代碼托管網(wǎng)站GitHub遭受了Memcached DRDoS攻擊，最大峰值流量達(dá)到了驚人的 1.35T，Memcached DRDoS攻擊迅速引起安全廠商重視。近期，針對(duì)其最新動(dòng)態(tài)百度安全發(fā)布了 Memcached DRDoS攻擊趨勢報(bào)告。

Memcached DRDoS攻擊數(shù)量逐漸增多，宿遷地區(qū)成重災(zāi)區(qū)

Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量Memcached服務(wù)器(一種分布式緩存系統(tǒng))存在的認(rèn)證和設(shè)計(jì)缺陷，攻擊者通過向Memcached服務(wù)器 IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包，使Memcached服務(wù)器向受害者 IP地址返回比請(qǐng)求數(shù)據(jù)包大的數(shù)據(jù)，從而進(jìn)行反射攻擊。百度安全通過監(jiān)測發(fā)現(xiàn)，從2018年2月25號(hào)開始，Memcached DRDoS攻擊數(shù)量逐漸增多，3月初，Memcached DRDoS攻擊只占總體攻擊的5%，三月中旬以后，逐漸超過10%，現(xiàn)在穩(wěn)定在10%-20%之間波動(dòng)，最近一周增長到30%。

通過對(duì)采樣的反射源產(chǎn)生的攻擊包進(jìn)行聚類匯總發(fā)現(xiàn)，中國占比最高，美國，俄羅斯緊隨其后，國內(nèi)分布的狀況則是杭州的反射源產(chǎn)生的攻擊包最多。抽樣分析反射源使用的Memcached版本發(fā)現(xiàn)1.4.15使用占比最多，通過對(duì)攻擊者使用Memcached DRDoS的攻擊目標(biāo)進(jìn)行分析發(fā)現(xiàn)宿遷地區(qū)遭受的攻擊最多。

放大倍數(shù)可達(dá)十幾萬倍，危害程度遠(yuǎn)高于其他反射攻擊類型

從放大倍數(shù)來看，Memcached反射攻擊的危害程度遠(yuǎn)遠(yuǎn)高于其他反射攻擊類型。CF在2月份發(fā)布文章稱，檢測到發(fā)送15字節(jié)的包，收到750k字節(jié)的包，從而計(jì)算出反射倍數(shù)是51200倍。CF提出的5萬倍僅僅是按響應(yīng)數(shù)據(jù)與請(qǐng)求數(shù)據(jù)的比例計(jì)算得到的，但DDoS攻擊消耗的是網(wǎng)絡(luò)帶寬資源，所以真實(shí)的放大倍數(shù)必須考慮數(shù)據(jù)包的實(shí)際網(wǎng)絡(luò)數(shù)據(jù)流長度。按照CF檢測到的數(shù)據(jù)重新計(jì)算，750字節(jié)產(chǎn)生的網(wǎng)絡(luò)流量達(dá)到804205.7，實(shí)際反射倍數(shù)則是9573.9倍。但不管怎么樣的差距，都不會(huì)影響Memcached反射攻擊成為DRDoS的TOP 1。當(dāng)然事實(shí)上，即使如何嚴(yán)謹(jǐn)?shù)挠?jì)算放大倍數(shù)，此類攻擊還是有進(jìn)一步放大的案例。

Memcached的VALUE默認(rèn)設(shè)置的最大長度是1Mbyte。單個(gè)get a請(qǐng)求后可實(shí)現(xiàn)的反射倍數(shù)達(dá)到13071.5倍。雖然直接調(diào)大VALUE的值放大倍數(shù)還不足2萬倍，但通過一些攻擊技巧還是能實(shí)現(xiàn)反射倍數(shù)達(dá)到十幾萬倍，百度安全近期就捕獲到使用了一種技巧實(shí)現(xiàn)了這樣的放大效果的攻擊事件。攻擊者在一個(gè)請(qǐng)求中，使用了多次查詢，通過在一個(gè)UDP包中執(zhí)行多條get指令，Memcached服務(wù)器返回大量的多條數(shù)據(jù)包，由于UDP包本身的長度要占用66字節(jié)，通過這樣的節(jié)省UDP包發(fā)送條數(shù)的手法，達(dá)到比之前單條發(fā)送要放大更多倍的效果，實(shí)際捕獲的攻擊實(shí)例中反射倍數(shù)為26471.4倍。理論上這不是最高的放大倍數(shù)，當(dāng)GET指令的個(gè)數(shù)增加時(shí)，反射比例還會(huì)增大，加上優(yōu)化payload，最終能實(shí)現(xiàn)十幾萬倍的反射效果。實(shí)際的環(huán)境中，反射比例要小的多，一方面，是由于Memcached服務(wù)器的性能決定，另一方面UDP存在一定比例的丟包，甚至還有空響應(yīng)的。

加固Memcached系統(tǒng)防護(hù)，遏制反射攻擊危害

面對(duì)規(guī)模如此之大、危害如此之高的Memcached反射攻擊，百度安全專家向Memcached系統(tǒng)用戶提出了幾點(diǎn)防護(hù)建議。

1、在Memcached服務(wù)器或者其上聯(lián)的網(wǎng)絡(luò)設(shè)備上配置防火墻策略，僅允許授權(quán)的業(yè)務(wù)IP地址訪問Memcached服務(wù)器，攔截非法的訪問。

2、更改Memcached服務(wù)的監(jiān)聽端口為11211之外的其他大端口，避免針對(duì)默認(rèn)端口的惡意利用。

3、除非特殊必要，不開啟Memcached UDP服務(wù)，最新版本的Memcached已經(jīng)默認(rèn)不開啟UDP服務(wù)。

4、升級(jí)到最新的Memcached軟件版本，配置啟用SASL認(rèn)證等權(quán)限控制策略(在編譯安裝Memcached程序時(shí)添加-enable-sasl選項(xiàng)，并且在啟動(dòng)Memcached服務(wù)程序時(shí)添加-S參數(shù)，啟用SASL認(rèn)證機(jī)制以提升Memcached的安全性。

Memcached反射攻擊可高達(dá)十幾萬倍的反射能力，不僅對(duì)攻擊目標(biāo)造成極大的損害，也會(huì)大大增加反射源的負(fù)載而影響自有業(yè)務(wù)運(yùn)行。黑客的攻擊無時(shí)不在，服務(wù)提供者、IDC和云平臺(tái)要時(shí)刻提高安全意識(shí)，同時(shí)還需要在服務(wù)端做好防御準(zhǔn)備，比如增加 ACL過濾規(guī)則和 DDoS清洗服務(wù)。此外，百度智云盾通過設(shè)置開放服務(wù)白名單的方式對(duì)所有入向流量進(jìn)行校驗(yàn)，不符合白名單的開放服務(wù)地址來源流量都被黑洞，有效的遏制了反射攻擊的危害。未來，智云盾將持續(xù)跟蹤Memcached反射攻擊威脅態(tài)勢，完善安全威脅監(jiān)測和防御能力，為網(wǎng)站安全保駕護(hù)航。(作者：李冉)

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！