域名預(yù)訂/競價，好“米”不錯過

基于Memcached服務(wù)的反射攻擊，由于其 5萬倍的反射比例，從一開始出現(xiàn)就成為DDoS攻擊界的“新寵”。隨著Memcached反射攻擊方式被黑客了解和掌握，利用Memcached服務(wù)器實施反射DDOS攻擊的事件呈大幅上升趨勢。2018年2月28日，知名代碼托管網(wǎng)站GitHub遭受了Memcached DRDoS攻擊，最大峰值流量達到了驚人的 1.35T，Memcached DRDoS攻擊迅速引起安全廠商重視。近期，針對其最新動態(tài)百度安全發(fā)布了 Memcached DRDoS攻擊趨勢報告。

Memcached DRDoS攻擊數(shù)量逐漸增多，宿遷地區(qū)成重災(zāi)區(qū)

Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量Memcached服務(wù)器(一種分布式緩存系統(tǒng))存在的認(rèn)證和設(shè)計缺陷，攻擊者通過向Memcached服務(wù)器 IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包，使Memcached服務(wù)器向受害者 IP地址返回比請求數(shù)據(jù)包大的數(shù)據(jù)，從而進行反射攻擊。百度安全通過監(jiān)測發(fā)現(xiàn)，從2018年2月25號開始，Memcached DRDoS攻擊數(shù)量逐漸增多，3月初，Memcached DRDoS攻擊只占總體攻擊的5%，三月中旬以后，逐漸超過10%，現(xiàn)在穩(wěn)定在10%-20%之間波動，最近一周增長到30%。

通過對采樣的反射源產(chǎn)生的攻擊包進行聚類匯總發(fā)現(xiàn)，中國占比最高，美國，俄羅斯緊隨其后，國內(nèi)分布的狀況則是杭州的反射源產(chǎn)生的攻擊包最多。抽樣分析反射源使用的Memcached版本發(fā)現(xiàn)1.4.15使用占比最多，通過對攻擊者使用Memcached DRDoS的攻擊目標(biāo)進行分析發(fā)現(xiàn)宿遷地區(qū)遭受的攻擊最多。

放大倍數(shù)可達十幾萬倍，危害程度遠高于其他反射攻擊類型

從放大倍數(shù)來看，Memcached反射攻擊的危害程度遠遠高于其他反射攻擊類型。CF在2月份發(fā)布文章稱，檢測到發(fā)送15字節(jié)的包，收到750k字節(jié)的包，從而計算出反射倍數(shù)是51200倍。CF提出的5萬倍僅僅是按響應(yīng)數(shù)據(jù)與請求數(shù)據(jù)的比例計算得到的，但DDoS攻擊消耗的是網(wǎng)絡(luò)帶寬資源，所以真實的放大倍數(shù)必須考慮數(shù)據(jù)包的實際網(wǎng)絡(luò)數(shù)據(jù)流長度。按照CF檢測到的數(shù)據(jù)重新計算，750字節(jié)產(chǎn)生的網(wǎng)絡(luò)流量達到804205.7，實際反射倍數(shù)則是9573.9倍。但不管怎么樣的差距，都不會影響Memcached反射攻擊成為DRDoS的TOP 1。當(dāng)然事實上，即使如何嚴(yán)謹(jǐn)?shù)挠嬎惴糯蟊稊?shù)，此類攻擊還是有進一步放大的案例。

Memcached的VALUE默認(rèn)設(shè)置的最大長度是1Mbyte。單個get a請求后可實現(xiàn)的反射倍數(shù)達到13071.5倍。雖然直接調(diào)大VALUE的值放大倍數(shù)還不足2萬倍，但通過一些攻擊技巧還是能實現(xiàn)反射倍數(shù)達到十幾萬倍，百度安全近期就捕獲到使用了一種技巧實現(xiàn)了這樣的放大效果的攻擊事件。攻擊者在一個請求中，使用了多次查詢，通過在一個UDP包中執(zhí)行多條get指令，Memcached服務(wù)器返回大量的多條數(shù)據(jù)包，由于UDP包本身的長度要占用66字節(jié)，通過這樣的節(jié)省UDP包發(fā)送條數(shù)的手法，達到比之前單條發(fā)送要放大更多倍的效果，實際捕獲的攻擊實例中反射倍數(shù)為26471.4倍。理論上這不是最高的放大倍數(shù)，當(dāng)GET指令的個數(shù)增加時，反射比例還會增大，加上優(yōu)化payload，最終能實現(xiàn)十幾萬倍的反射效果。實際的環(huán)境中，反射比例要小的多，一方面，是由于Memcached服務(wù)器的性能決定，另一方面UDP存在一定比例的丟包，甚至還有空響應(yīng)的。

加固Memcached系統(tǒng)防護，遏制反射攻擊危害

面對規(guī)模如此之大、危害如此之高的Memcached反射攻擊，百度安全專家向Memcached系統(tǒng)用戶提出了幾點防護建議。

1、在Memcached服務(wù)器或者其上聯(lián)的網(wǎng)絡(luò)設(shè)備上配置防火墻策略，僅允許授權(quán)的業(yè)務(wù)IP地址訪問Memcached服務(wù)器，攔截非法的訪問。

2、更改Memcached服務(wù)的監(jiān)聽端口為11211之外的其他大端口，避免針對默認(rèn)端口的惡意利用。

3、除非特殊必要，不開啟Memcached UDP服務(wù)，最新版本的Memcached已經(jīng)默認(rèn)不開啟UDP服務(wù)。

4、升級到最新的Memcached軟件版本，配置啟用SASL認(rèn)證等權(quán)限控制策略(在編譯安裝Memcached程序時添加-enable-sasl選項，并且在啟動Memcached服務(wù)程序時添加-S參數(shù)，啟用SASL認(rèn)證機制以提升Memcached的安全性。

Memcached反射攻擊可高達十幾萬倍的反射能力，不僅對攻擊目標(biāo)造成極大的損害，也會大大增加反射源的負載而影響自有業(yè)務(wù)運行。黑客的攻擊無時不在，服務(wù)提供者、IDC和云平臺要時刻提高安全意識，同時還需要在服務(wù)端做好防御準(zhǔn)備，比如增加 ACL過濾規(guī)則和 DDoS清洗服務(wù)。此外，百度智云盾通過設(shè)置開放服務(wù)白名單的方式對所有入向流量進行校驗，不符合白名單的開放服務(wù)地址來源流量都被黑洞，有效的遏制了反射攻擊的危害。未來，智云盾將持續(xù)跟蹤Memcached反射攻擊威脅態(tài)勢，完善安全威脅監(jiān)測和防御能力，為網(wǎng)站安全保駕護航。(作者：李冉)

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！