亲历历史!史上首个核弹级 DDoS 攻击正在荼毒全球

摘要

360 Cert表示目前全球多个云服务器均遭到攻击,未来可能有更多利用Memcached进行DRDoS的事件发生。

今天,360 网络安全响应中心(360 Cert)发出预警,称监测到一种利用 Memcache 作为 DRDoS 放大器进行放大的超大规模 DDoS 攻击,这种反射型 DDoS 攻击能够达到 5 万倍的放大系数,犯罪分子可利用 Memcache 服务器通过非常少的计算资源发动超大规模的 DDoS 攻击。

360 Cert 表示目前全球多个云服务器均遭到攻击,未来可能有更多利用 Memcached 进行 DRDoS 的事件发生。

实际上,早在 2017 年 6 月,360 信息安全部 0kee Team 就发现了这种利用 Memcache 放大的攻击技术,并在 2017 年 11 月通过 PoC 2017 安全会议对安全社区做出了预警。360 CERT QUAKE 全网测绘显示,目前在外开放的 Memcache 存储系统数量级在十万左右,都可能会受到此类攻击影响。从国家分布上来看,开放主机数量上,美国第一,中国第二,但受影响的数量却相反。

DDoS 攻击是通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。举例来说,就是一个正常营业的商铺,被大量假冒的顾客占满了,没有办法为真正的顾客提供服务,这个商铺就是 DDoS 攻击的受害者。

360 CERT 团队介绍,这种利用 Memcache 作为 DRDoS 放大器进行放大的 DDoS 攻击,利用 Memcached 协议,发送大量带有被害者 IP 地址的 UDP 数据包给放大器主机,然后放大器主机对伪造的 IP 地址源做出大量回应,形成分布式拒绝服务攻击,从而形成 DRDoS 反射。

据了解,在近几日发现的利用 Memcache 放大的攻击事件中,攻击者向端口 11211 上的 Memcache 服务器发送小字节请求。由于 UDP 协议并未正确执行,因此 Memcache 服务器并未以类似或更小的包予以响应,而是以有时候比原始请求大数千倍的包予以响应。也就是说攻击者能诱骗 Memcache 服务器将过大规模的响应包发送给受害者。

Memcache 攻击放大系数可高达 5 万倍

这种类型的 DDoS 攻击被称为「反射型 DDoS」或「反射 DDoS」。响应数据包被放大的倍数被称为 DDoS 攻击的「放大系数」。目前常见反射类 DDoS 攻击的放大系数,一般是 20 到 100 之间。放大系数超过 1000 的反射型 DDoS 攻击本身就非常罕见,而本次高达 5 万倍放大系数被实际应用在 DDoS 攻击战场上,是 DDoS 历史上首次出现的超高倍数 DDOS 攻击事件,可以说是核弹级的攻击手法。

这也是本次 Memcrashed 技术特点之一——反射倍数较大,已经确认可以稳定的达到 5 万倍,此外,本次攻击事件的反射点带宽充裕,且主要来自 IDC 机房服务器。

最近一周,利用 Memcache 放大的攻击事件迅速上升,攻击频率从每天不足 50 件爆发式上升到每天 300~400 件,而实际现网中,已经出现了 0.5Tbps 的攻击。360Cert 表示,可能有更大的攻击案例并未被公开报道。

在接下来的一段时间内,360 安全团队预计会出现更多利用 Memcached 进行 DRDoS 的事件,如果本次攻击效果被其他 DDoS 团队所效仿,将会带来后果更严重的攻击。因此,360 安全专家对于 Memcache 使用者给出几条建议:

1.Memcache 的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置 acl 或者添加安全组。

2. 为预防机器器扫描和 ssrf 等攻击,修改 memcache 默认监听端口。

3. 升级到最新版本的 memcache,并且使用 SASL 设置密码来进行权限控制。

对于网络层防御,360 安全专家表示目前已有包括 NTT 在内的多个国外 ISP 已经对 UDP11211 进行限速。同时,安全专家表示,互联网服务提供商应当禁止在网络上执行 IP 欺骗。IP 欺骗 DRDoS 的根本原因。具体措施可以参考 BCP38。

此外,安全专家也建议 ISP 应允许用户使用 BGP flowspec 限制入站 UDP11211 的流量,以减轻大型 DRDoS 攻击时的拥堵。

详细报告地址:[预警] 利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击 - 360CERT  https://cert.360.cn/warning/detail?id=c63eb87058834e37c7c112c35ef5f9fd


最新文章

极客公园

用极客视角,追踪你不可错过的科技圈.

极客之选

新鲜、有趣的硬件产品,第一时间为你呈现。

张鹏科技商业观察

聊科技,谈商业。