阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。今天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。
如下是Memcached型反射型DDoS攻击的抓包样本,从UDP协议+源端口11211的特征,可以快速分辨这种攻击类型。
这种攻击,发起攻击者伪造成受害者的IP对互联网上可以被利用的Memcached的服务发起大量请求,Memcached对请求回应。大量的回应报文汇聚到被伪造的IP地址源(也就是受害者),形成反射型分布式拒绝服务攻击。
令人担忧的一点是,利用Memcached可以数万倍的放大报文,即返回的报文大小是请求大小的数万倍,攻击者可以利用非常少的带宽即可发起流量巨大的DDoS攻击。而NTP和SSDP反射攻击一般只能放大数十倍到数百倍。Memcached放大反射DDoS攻击因为其放大倍数能产生更大的破坏力。
随着利用Memcached进行DDoS攻击技术的公开,越来越多尝试使用Memcached进行反射的DDoS发生,并且此类型DDoS攻击正快速上升。
近期,黑客已经扫描并收集全球可以被利用的MemcachedIP,并出现大量试探性超大流量Memcached DDoS攻击,下一步Memcached大流量DDoS攻击将成熟化并大量出现,成为黑客新的利器。
当前互联网上的反射点数量及危害
整个互联网可以用于Memcached反射的IP达到数十万,为攻击者提供了海量的军火库。
随着超大流量DDoS发起难度降低,IDC和云服务商需要储备更多的网络带宽用于防御,中小型IDC将很难应对这种超大规模DDoS攻击,只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。
目前,阿里云已提供Memcached安全配置建议,并在安骑士提供修复引导,帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。
(1) 什么是Memcached?
Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。
(2) Memcached业务场景?
如果网站包含了访问量很大的动态网页,那么数据库的负载将会很高。由于大部分数据库请求都是读操作,大部分读较高的业务系统采用Memcached减少数据库读,实现缓存功能可以显著地减小数据库负载,提升网站性能。
(3) 为什么Memcached会被利用与反射放大DDoS攻击?
- 由于Memcache(版本低于1.5.6)默认监听UDP,天然满足反射DDoS条件
- 很多用户将服务监听在0.0.0.0,且未进行iptables规则配置,这导致可以被任意来源IP请求
- Memcached反射的倍数达到数万倍,非常利于用于放大报文倍数行成超大流量的DDoS攻击
针对如何防范Memcached,阿里云安全专家有两个方面的建议:
首先,如何避免被利用成为Memcached反射端:
建议对运行的Memccached服务进行安全检查和加固,防止被黑客利用发起DDoS攻击造成不必要的带宽流量;
如果您的Memcached版本低于1.5.6,且不需要监听UDP。您可以重新启动Memcached 加入 -U 0启动参数,例如:Memcached -U 0,禁止监听在udp协议上
如果您购买了阿里云云盾安骑士,您可以在安骑士控制台根据引导进行修复。
第二,如何防护Memcached DDoS反射攻击
建议优化业务架构,将业务分散到多个IP上;
利用Memcached可以相对容易发起超大流量DDoS攻击,防御Memcached攻击需要储备足够的带宽。如果遇到大流量反射攻击,可以采购云清洗服务,并建议采用针对UDP反射进行过滤的云清洗服务。阿里云高防IP已推出UDP封堵服务。
2017年3月份,西南地区某棋牌公司遭受810G DDoS攻击,导致该公司新上线棋牌App无法为用户提供服务,高峰期断服8个小时,直接经济损失10万元以上。在向当地公安机关报案后,因不能提供确凿证据,无法立案。
2017年8月份,北京某线上金融公司遭受 420G DDoS攻击,导致该公司用户无法使用支付网关,引发用户大量卸载应用,对公司正常业务开展造成极大影响。在向当地公安机关报案后,同样因为没有确凿的证据,无法立案。
以上只是庞大的网络黑色产业链中冰山一角,其性质之恶劣,影响之严重,对企业产生的直接经济损失之大,不容小觑,若能够追溯攻击源,予以立案调查,将对于黑产形成足够的威慑力,有效减少攻击产生的损失。在12月15日举办的FIT 2018互联网安全创新大会上,金山云高级安全产品经理梁洋洋从实践出发,详细讲解了云时代DDoS溯源的核心原理和技术实现手段。
金山云高级安全产品经理梁洋洋
发表《云时代DDoS溯源实践与解析》的演讲
DDoS攻击损失巨大 溯源难题亟待解决
当前,伴随着社会信息化的发展,网络安全问题日渐突出,不仅严重阻碍了信息化发展的进程,还进一步影响到整个国家的安全和经济发展,其中最 为常见并造成严重损失的,以DDoS攻击为甚。近一两年来,DDoS攻击一直呈上升趋势,如何做好DDoS的防御是每个企业都必须要考虑的问题。
数据监控机构Neustar发布的2017年第一季全球DDoS攻击研究报告指出,通过对1010个组织的调查发现,在今年一季度遭受过DDoS攻击的组织占比高达84%,其中又有85%遭受到一次以上的攻击。在另一份相关报告中,显示全球有98个国家经历了DDoS攻击,其中针对中国的攻击数量最多,占所有攻击的63.30%。
在DDoS攻击中,娱乐游戏、互联网金融、电商平台等行业已成为DDoS攻击的重灾区。特别是游戏行业,近年来棋牌游戏公司日进斗金,丰厚的利润成为黑客组织眼中的肥肉;同时因为棋牌游戏竞争激烈,一夜之间成立了上千家棋牌游戏公司,激烈的行业竞争更引发了同行间恶意的DDoS攻击。这时,被动防御清洗DDoS攻击已经不能满足各个受害公司的需求,DDoS溯源成为大家关注的焦点。
金山云实现DDoS攻击精准溯源
由于攻击大多来源于僵尸网络以及互联网的肉机,造成溯源时困难重重,企业在被攻击时因为缺乏有力证据,往往只能认栽。面对客户对于DDoS溯源的强烈需求,金山云研发的公有云溯源系统,通过高效的自动化+人工的数据分析,能够有效进行控制端溯源,追踪攻击发起源头,组建攻击证据链。
据了解,金山云已经建立了一整套完整的DDoS防御及溯源流程,当攻击发生时,一方面通过7层攻击数据获取详细的攻击信息,利用CC攻击特征分析对攻击数据进行清洗。另一方面,结合金山云独有的全网蜜罐系统,获取发起攻击的恶意样本,并进行沙盒模拟运行和专家逆向分析,获取真实的C&C Server。依靠金山云自身积累的海量攻击数据,配合专业第三方合作伙伴提供的威胁情报,对控制端进行一系列溯源。最后通过社交关系分析、行业竞争分析等,精准定位攻击嫌疑人,向警方提供攻击证据链。
除了被攻击后的溯源追踪,更重要的是提前做好DDoS攻击防护。针对某棋牌用户受到的DDoS攻击,金山云为其提供了整体的安全解决方案。面对网络黑客变化多端的攻击方式,金山云和客户一起,通过调整BGP弹性加静态网络参数设置,对攻击报文特征进行过滤。金山云高防产品成功防御了针对客户业务的各种网络攻击,包括DDoS攻击和CC攻击,攻击峰值流量高达800G,为客户业务长期保驾护航。
作为中国公有云前三的云计算企业,金山云在安全方面进行了大量投入并已经取得了卓有成效的成绩。全球知名咨询机构IDC近日发布的《IDC MarketScape:中国云服务提供商,2017厂商安全评估》指出,金山云是国内安全等级最高的云服务厂商之一。目前,金山云安全解决方案和DDoS防御及溯源服务已成为大量游戏公司的首选。
互联网经济快速发展,各行各业对于网络的依赖程度日益加深,同时也面临日益严峻的运营危害——DDoS攻击。
DDoS(Distributed Denial of Service)分布式拒绝服务攻击是一种十分常见的网络攻击,通过多种方式消耗网络或服务系统的资源,使真正用户无法访问使用这些资源。
电子商务、在线游戏、医药培训、金融服务、DNS服务和数据中心等企业很容易遭受DDoS攻击,出现访问卡顿、业务中断,很容易造成用户流失、营业额下降。
包括2018 GitHub遭遇T级攻击,2016年美国断网,2015锤子科技那场令老罗伤感的发布会……这些都是因为受到了DDoS攻击。
究竟什么是DDoS攻击呢?
举个栗子。本来商店的生意不错,客户有序购买。
但是总有人红眼,雇佣了一批人来捣乱。一股脑冲到店里光问价格、光试商品就是不买单。而真正的顾客被挤在外面,目瞪口呆。
虽然黑客用DDoS攻击起来简单粗暴,咱紫光云应对的也是得心应手。紫光云DDoS防御为用户打造全方位分层网络流量检测,智能清洗系统:提供超过1T的防御带宽足以将攻击轻松化解;根据各行业特点及受攻击历史情况预制最优DDoS防御解决方案,同时提供定制化的DDoS防御服务;此外云端清洗防御,让操作更简单,无需任何部署,即可简单、快速接入。不仅降低操作时间和防御成本,更满足适应业务发展所需的可扩展性。