写点什么

放大倍数超 5 万倍的 Memcached DDoS 反射攻击,怎么破?

  • 2019-10-25
  • 本文字数:2038 字

    阅读完需:约 7 分钟

放大倍数超5万倍的 Memcached DDoS 反射攻击,怎么破?

背景 Memcached 攻击创造 DDoS 攻击流量纪录


近日,利用 Memcached 服务器实施反射 DDoS 攻击的事件呈大幅上升趋势。DDoS 攻击流量首次过 T,引发业界热烈回应。现腾讯游戏云回溯整个事件如下:


追溯 2 月 27 日消息,Cloudflare 和 Arbor Networks 公司于周二发出警告称,恶意攻击者正在滥用 Memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。


下图为监测到 Memcached 攻击态势



仅仅过了一天,就出现了 1.35Tbps 攻击流量刷新 DDoS 攻击历史纪录。


美国东部时间周三下午,GitHub 透露其可能遭受了有史最强的 DDoS 攻击,专家称攻击者采用了放大攻击的新方法 Memcached 反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。对 GitHub 平台的第一次峰值流量攻击达到了 1.35Tbps,随后又出现了另外一次 400Gbps 的峰值,这可能也将成为目前记录在案的最强 DDoS 攻击,此前这一数据为 1.1Tbps。


据 CNCERT3 月 3 日消息,监测发现 Memcached 反射攻击在北京时间 3 月 1 日凌晨 2 点 30 分左右峰值流量高达 1.94Tbps。

腾讯云捕获多起 Memcached 反射型 DDoS 攻击

截止 3 月 6 日,腾讯云已捕获到多起利用 Memcached 发起的反射型 DDoS 攻击。主要攻击目标包括游戏、门户网站等业务。


腾讯云数据监测显示,黑产针对腾讯云业务发起的 Memcached 反射型攻击从 2 月 21 日起进入活跃期,在 3 月 1 日达到活跃高峰,随后攻击次数明显减少,到 3 月 5 日再次出现攻击高峰。攻击态势如下图所示:



下图为腾讯云捕获到的 Memcached 反射型 DDoS 攻击的抓包样本:



腾讯云捕获到的 Memcached 反射源为 22511 个。Memcached 反射源来源分布情况如下图所示:



在腾讯云宙斯盾安全系统防护下,腾讯云业务在 Memcached 反射型 DDoS 攻击中不受影响。

那么,什么是 Memcached 反射攻击?

一般而言,我们会根据针对的协议类型和攻击方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各类攻击类型。


DDoS 攻击的历史可以追溯到上世纪 90 年代,反射型 DDoS 攻击则是 DDoS 攻击中较巧妙的一种。攻击者并不直接攻击目标服务 IP,而是通过伪造被攻击者的 IP 向开放某些某些特殊服务的服务器发请求报文,该服务器会将数倍于请求报文的回复数据发送到那个伪造的 IP(即目标服务 IP),从而实现隔山打牛,四两拨千金的效果。而 Memcached 反射型攻击因为其高达数万倍的放大倍数,更加受到攻击者的青睐。


Memcached 反射攻击,就是发起攻击者伪造成受害者的 IP 对互联网上可以被利用的 Memcached 的服务发起大量请求,Memcached 对请求回应。大量的回应报文汇聚到被伪造的 IP 地址源,形成反射型分布式拒绝服务攻击。


为何会造成如此大威胁?

据腾讯云宙斯盾安全团队成员介绍,以往我们面临的 DDoS 威胁,例如 NTP 和 SSDP 反射攻击的放大倍数一般都是 30~50 之间,而 Memcached 的放大倍数是万为单位,一般放大倍数接近 5 万倍,且并不能排除这个倍数被继续放大的可能性。利用这个特点,攻击者可以用非常少的带宽即可发起流量巨大的 DDoS 攻击。

安全建设需要未雨绸缪

早在 Memcached 反射型 DDoS 攻击手法试探鹅厂业务之时,腾讯云已感知到风险并提前做好部署,这轮黑客基于 Memcached 反射发起的 DDoS 攻击都被成功防护。


与此同时,腾讯云在捕获到 Memcached 攻击后,及时协助业务客户自查,提供监测和修复建议以确保用户的服务器不被用于发起 DDoS 攻击。

应对超大流量 DDoS 攻击的安全建议

DDoS 攻击愈演愈烈,不断刷新攻击流量纪录,面临超越 Tbps 级的超大流量攻击,腾讯云宙斯盾安全产品团队建议用户做以下应对:

1.需要加强对反射型 UDP 攻击的重点关注,并提高风险感知能力

反射型 UDP 攻击占据 DDoS 攻击半壁江山。根据 2017 年腾讯云游戏行业 DDoS 攻击态势报告显示,反射型 UDP 攻击占了 2017 年全年 DDoS 攻击的 55%,需要重点关注此种类型攻击。



此次 Memcached 反射型攻击作为一种较新型的反射型 UDP 攻击形式出现,带来巨大安全隐患,需要业界持续关注互联网安全动态,并提高风险感知能力,做好策略应对。在行业内出现威胁爆发时进行必要的演练。

2.应对超大流量攻击威胁,建议接入腾讯云宙斯盾安全产品

应对逐步升级的 DDoS 攻击风险。建议配置宙斯盾高防 IP 产品,隐藏源站 IP。用高防 IP 充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被 DDoS 攻击时才能保证业务可用性,从容处理。在面对高等级 DDoS 威胁时,及时升级防护配置,必要时请求 DDoS 防护厂商的专家服务。

3.易受大流量攻击行业需加强防范

门户、金融、游戏等往年易受黑产死盯的行业需加强防范,政府等 DDoS 防护能力较弱的业务需提高大流量攻击的警惕。


风险往往曾经出现过苗头,一旦被黑产的春风点起,在毫无防护的情形之下,就会燃起燎原大火。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/VuioGvgIRU4LkrIZuW5uQg


2019-10-25 09:591801

评论

发布
暂无评论
发现更多内容

看完这篇操作系统,和面试官扯皮就没问题了

苹果看辽宁体育

操作系统 计算机基础

Java 真实笔试题2

旭霁

Java

Web3 极客日报#138

谢锐 | Frozen

区块链 独立开发者 技术社区 Rebase Web3 Daily

ClickHouse为何如此之快?

nauu

数据库 大数据 OLAP Clickhouse

严选合伙人(一)

Neco.W

创业 合伙人 初创公司

个人技术成长与发展

颇风

后端 技术人

手把手带你体验 HTTP/3

清远

现在的我和未来的我之间的差距原来是态度,而它拉开我们彼此命运的距离。

叶小鍵

如何认识更多的朋友扩展社交朋友圈的质量

吃素的左撇子

人生 人脉

Linux 容器化技术的前世今生(虚拟化、容器化、Docker)

Meandni

Docker 云计算 Linux 容器 虚拟机

如何优雅的实现分布式锁

飘渺Jam

redis zookeeper 分布式锁

我肝了一个月,给你写出了这本Java开发手册。

苹果看辽宁体育

Java25周年

产品不需要刻意强调创新

Xue Liang

产品 创新突破 PCon

基于环信sdk在uni-app中快速开发多平台社交Demo

DT极客

程序员的晚餐 | 5 月 10 日 能让你流泪的不只是洋葱

清远

美食

一杯茶的时间,上手 Node.js

图雀社区

node.js

回“疫”录(16):管控更加严格了

小天同学

疫情 回忆录 现实纪录 纪实

记一次线上事故

编号94530

Java MySQL 故障分析 事故

Java并发之AQS源码分析

指尖流逝

Java

程序员的晚餐 | 5 月 13 日 果木鸡丁的夏天

清远

美食

数据与广告系列一:初识在线计算广告

黄崇远@数据虫巢

互联网 数据 广告

Web3极客日报 #139

谢锐 | Frozen

区块链 独立开发者 技术社区 Rebase Web3 Daily

Tomcat安全配置

wong

Tomccat security

这种场景你还写ifelse你跟孩子坐一桌去吧

小傅哥

小傅哥 drools ifelse 复杂代码优化 规则引擎使用

程序员的晚餐 | 5 月 11 日 久违的大蒜的味道

清远

美食

JVM源码分析之深入分析Object类finalize()方法的实现原理

猿灯塔

JVM

游戏夜读 | 预测问题的硬核是?

game1night

练习英语口语的误区

董一凡

学习

程序员的晚餐 | 5 月 14 日 虎皮青椒

清远

美食

低代码 .VS. 无代码

Jeff Kit

低代码 零代码

Java 中的 Mysql 时区问题

张晓辉

放大倍数超5万倍的 Memcached DDoS 反射攻击,怎么破?_文化 & 方法_云加社区_InfoQ精选文章