阿里云安全DDoS監(jiān)控中心數(shù)據(jù)顯示�,利用Memcached 進行DDoS攻擊的趨勢快速升溫。今天����, 阿里云已經(jīng)成功監(jiān)控和防御一起流量高達758.6Gbps的Memcached DDoS反射攻擊。
如下是Memcached型反射型DDoS攻擊的抓包樣本���,從UDP協(xié)議+源端口11211的特征����,可以快速分辨這種攻擊類型���。
這種攻擊���,發(fā)起攻擊者偽造成受害者的IP對互聯(lián)網(wǎng)上可以被利用的Memcached的服務(wù)發(fā)起大量請求�,Memcached對請求回應(yīng)����。大量的回應(yīng)報文匯聚到被偽造的IP地址源(也就是受害者),形成反射型分布式拒絕服務(wù)攻擊���。
令人擔(dān)憂的一點是����,利用Memcached可以數(shù)萬倍的放大報文�����,即返回的報文大小是請求大小的數(shù)萬倍��,攻擊者可以利用非常少的帶寬即可發(fā)起流量巨大的DDoS攻擊���。而NTP和SSDP反射攻擊一般只能放大數(shù)十倍到數(shù)百倍���。Memcached放大反射DDoS攻擊因為其放大倍數(shù)能產(chǎn)生更大的破壞力。
隨著利用Memcached進行DDoS攻擊技術(shù)的公開,越來越多嘗試使用Memcached進行反射的DDoS發(fā)生����,并且此類型DDoS攻擊正快速上升。
近期���,黑客已經(jīng)掃描并收集全球可以被利用的MemcachedIP�����,并出現(xiàn)大量試探性超大流量Memcached DDoS攻擊����,下一步Memcached大流量DDoS攻擊將成熟化并大量出現(xiàn)����,成為黑客新的利器��。
當(dāng)前互聯(lián)網(wǎng)上的反射點數(shù)量及危害
整個互聯(lián)網(wǎng)可以用于Memcached反射的IP達到數(shù)十萬�,為攻擊者提供了海量的軍火庫。
隨著超大流量DDoS發(fā)起難度降低���,IDC和云服務(wù)商需要儲備更多的網(wǎng)絡(luò)帶寬用于防御��,中小型IDC將很難應(yīng)對這種超大規(guī)模DDoS攻擊�����,只有具備超大帶寬和運營商黑洞能力的云服務(wù)商才能有力應(yīng)對���。
目前�����,阿里云已提供Memcached安全配置建議�����,并在安騎士提供修復(fù)引導(dǎo)���,幫助云上用戶修復(fù)Memcached風(fēng)險。高防IP中已提供UDP反射封禁服務(wù)�����。
(1) 什么是Memcached�?
Memcached 是一個高性能的分布式內(nèi)存對象緩存系統(tǒng),用于動態(tài)Web應(yīng)用以減輕數(shù)據(jù)庫負載����。它通過在內(nèi)存中緩存數(shù)據(jù)和對象來減少讀取數(shù)據(jù)庫的次數(shù)����,從而提高動態(tài)�����、數(shù)據(jù)庫驅(qū)動網(wǎng)站的速度���。
(2) Memcached業(yè)務(wù)場景����?
如果網(wǎng)站包含了訪問量很大的動態(tài)網(wǎng)頁�,那么數(shù)據(jù)庫的負載將會很高。由于大部分數(shù)據(jù)庫請求都是讀操作�����,大部分讀較高的業(yè)務(wù)系統(tǒng)采用Memcached減少數(shù)據(jù)庫讀�����,實現(xiàn)緩存功能可以顯著地減小數(shù)據(jù)庫負載�����,提升網(wǎng)站性能�。
(3) 為什么Memcached會被利用與反射放大DDoS攻擊?
- 由于Memcache(版本低于1.5.6)默認監(jiān)聽UDP�,天然滿足反射DDoS條件
- 很多用戶將服務(wù)監(jiān)聽在0.0.0.0,且未進行iptables規(guī)則配置��,這導(dǎo)致可以被任意來源IP請求
- Memcached反射的倍數(shù)達到數(shù)萬倍�,非常利于用于放大報文倍數(shù)行成超大流量的DDoS攻擊
針對如何防范Memcached,阿里云安全專家有兩個方面的建議:
首先����,如何避免被利用成為Memcached反射端:
建議對運行的Memccached服務(wù)進行安全檢查和加固,防止被黑客利用發(fā)起DDoS攻擊造成不必要的帶寬流量����;
如果您的Memcached版本低于1.5.6,且不需要監(jiān)聽UDP����。您可以重新啟動Memcached 加入 -U 0啟動參數(shù),例如:Memcached -U 0�,禁止監(jiān)聽在udp協(xié)議上
如果您購買了阿里云云盾安騎士,您可以在安騎士控制臺根據(jù)引導(dǎo)進行修復(fù)�。
第二�,如何防護Memcached DDoS反射攻擊
建議優(yōu)化業(yè)務(wù)架構(gòu)���,將業(yè)務(wù)分散到多個IP上����;
利用Memcached可以相對容易發(fā)起超大流量DDoS攻擊���,防御Memcached攻擊需要儲備足夠的帶寬�����。如果遇到大流量反射攻擊����,可以采購云清洗服務(wù)��,并建議采用針對UDP反射進行過濾的云清洗服務(wù)����。阿里云高防IP已推出UDP封堵服務(wù)�。
2017年3月份,西南地區(qū)某棋牌公司遭受810G DDoS攻擊����,導(dǎo)致該公司新上線棋牌App無法為用戶提供服務(wù)���,高峰期斷服8個小時,直接經(jīng)濟損失10萬元以上���。在向當(dāng)?shù)毓矙C關(guān)報案后�����,因不能提供確鑿證據(jù)��,無法立案�。
2017年8月份��,北京某線上金融公司遭受 420G DDoS攻擊���,導(dǎo)致該公司用戶無法使用支付網(wǎng)關(guān)�����,引發(fā)用戶大量卸載應(yīng)用�����,對公司正常業(yè)務(wù)開展造成極大影響��。在向當(dāng)?shù)毓矙C關(guān)報案后����,同樣因為沒有確鑿的證據(jù),無法立案�����。
以上只是龐大的網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈中冰山一角���,其性質(zhì)之惡劣�,影響之嚴重�,對企業(yè)產(chǎn)生的直接經(jīng)濟損失之大,不容小覷�,若能夠追溯攻擊源,予以立案調(diào)查����,將對于黑產(chǎn)形成足夠的威懾力,有效減少攻擊產(chǎn)生的損失�����。在12月15日舉辦的FIT 2018互聯(lián)網(wǎng)安全創(chuàng)新大會上���,金山云高級安全產(chǎn)品經(jīng)理梁洋洋從實踐出發(fā)����,詳細講解了云時代DDoS溯源的核心原理和技術(shù)實現(xiàn)手段�����。
金山云高級安全產(chǎn)品經(jīng)理梁洋洋
發(fā)表《云時代DDoS溯源實踐與解析》的演講
DDoS攻擊損失巨大 溯源難題亟待解決
當(dāng)前�,伴隨著社會信息化的發(fā)展,網(wǎng)絡(luò)安全問題日漸突出����,不僅嚴重阻礙了信息化發(fā)展的進程,還進一步影響到整個國家的安全和經(jīng)濟發(fā)展���,其中最 為常見并造成嚴重損失的�����,以DDoS攻擊為甚�����。近一兩年來�����,DDoS攻擊一直呈上升趨勢��,如何做好DDoS的防御是每個企業(yè)都必須要考慮的問題�����。
數(shù)據(jù)監(jiān)控機構(gòu)Neustar發(fā)布的2017年第一季全球DDoS攻擊研究報告指出�����,通過對1010個組織的調(diào)查發(fā)現(xiàn)��,在今年一季度遭受過DDoS攻擊的組織占比高達84%�,其中又有85%遭受到一次以上的攻擊。在另一份相關(guān)報告中����,顯示全球有98個國家經(jīng)歷了DDoS攻擊,其中針對中國的攻擊數(shù)量最多��,占所有攻擊的63.30%。
在DDoS攻擊中��,娛樂游戲����、互聯(lián)網(wǎng)金融���、電商平臺等行業(yè)已成為DDoS攻擊的重災(zāi)區(qū)���。特別是游戲行業(yè),近年來棋牌游戲公司日進斗金�����,豐厚的利潤成為黑客組織眼中的肥肉����;同時因為棋牌游戲競爭激烈,一夜之間成立了上千家棋牌游戲公司����,激烈的行業(yè)競爭更引發(fā)了同行間惡意的DDoS攻擊。這時�,被動防御清洗DDoS攻擊已經(jīng)不能滿足各個受害公司的需求,DDoS溯源成為大家關(guān)注的焦點。
金山云實現(xiàn)DDoS攻擊精準(zhǔn)溯源
由于攻擊大多來源于僵尸網(wǎng)絡(luò)以及互聯(lián)網(wǎng)的肉機���,造成溯源時困難重重��,企業(yè)在被攻擊時因為缺乏有力證據(jù)����,往往只能認栽����。面對客戶對于DDoS溯源的強烈需求,金山云研發(fā)的公有云溯源系統(tǒng)����,通過高效的自動化+人工的數(shù)據(jù)分析,能夠有效進行控制端溯源�,追蹤攻擊發(fā)起源頭,組建攻擊證據(jù)鏈�����。
據(jù)了解���,金山云已經(jīng)建立了一整套完整的DDoS防御及溯源流程����,當(dāng)攻擊發(fā)生時,一方面通過7層攻擊數(shù)據(jù)獲取詳細的攻擊信息����,利用CC攻擊特征分析對攻擊數(shù)據(jù)進行清洗。另一方面��,結(jié)合金山云獨有的全網(wǎng)蜜罐系統(tǒng)�,獲取發(fā)起攻擊的惡意樣本�����,并進行沙盒模擬運行和專家逆向分析���,獲取真實的C&C Server����。依靠金山云自身積累的海量攻擊數(shù)據(jù)�����,配合專業(yè)第三方合作伙伴提供的威脅情報��,對控制端進行一系列溯源。最后通過社交關(guān)系分析����、行業(yè)競爭分析等,精準(zhǔn)定位攻擊嫌疑人��,向警方提供攻擊證據(jù)鏈����。
除了被攻擊后的溯源追蹤,更重要的是提前做好DDoS攻擊防護�����。針對某棋牌用戶受到的DDoS攻擊�,金山云為其提供了整體的安全解決方案。面對網(wǎng)絡(luò)黑客變化多端的攻擊方式����,金山云和客戶一起,通過調(diào)整BGP彈性加靜態(tài)網(wǎng)絡(luò)參數(shù)設(shè)置�����,對攻擊報文特征進行過濾����。金山云高防產(chǎn)品成功防御了針對客戶業(yè)務(wù)的各種網(wǎng)絡(luò)攻擊���,包括DDoS攻擊和CC攻擊,攻擊峰值流量高達800G�,為客戶業(yè)務(wù)長期保駕護航。
作為中國公有云前三的云計算企業(yè)��,金山云在安全方面進行了大量投入并已經(jīng)取得了卓有成效的成績��。全球知名咨詢機構(gòu)IDC近日發(fā)布的《IDC MarketScape:中國云服務(wù)提供商���,2017廠商安全評估》指出��,金山云是國內(nèi)安全等級最高的云服務(wù)廠商之一。目前���,金山云安全解決方案和DDoS防御及溯源服務(wù)已成為大量游戲公司的首選�����。
互聯(lián)網(wǎng)經(jīng)濟快速發(fā)展�,各行各業(yè)對于網(wǎng)絡(luò)的依賴程度日益加深�����,同時也面臨日益嚴峻的運營危害——DDoS攻擊。
DDoS(Distributed Denial of Service)分布式拒絕服務(wù)攻擊是一種十分常見的網(wǎng)絡(luò)攻擊��,通過多種方式消耗網(wǎng)絡(luò)或服務(wù)系統(tǒng)的資源�,使真正用戶無法訪問使用這些資源。
電子商務(wù)����、在線游戲、醫(yī)藥培訓(xùn)���、金融服務(wù)���、DNS服務(wù)和數(shù)據(jù)中心等企業(yè)很容易遭受DDoS攻擊,出現(xiàn)訪問卡頓���、業(yè)務(wù)中斷�,很容易造成用戶流失�、營業(yè)額下降。
包括2018 GitHub遭遇T級攻擊����,2016年美國斷網(wǎng)��,2015錘子科技那場令老羅傷感的發(fā)布會……這些都是因為受到了DDoS攻擊����。
究竟什么是DDoS攻擊呢�����?
舉個栗子�。本來商店的生意不錯,客戶有序購買�。
但是總有人紅眼,雇傭了一批人來搗亂����。一股腦沖到店里光問價格、光試商品就是不買單���。而真正的顧客被擠在外面,目瞪口呆�。
雖然黑客用DDoS攻擊起來簡單粗暴,咱紫光云應(yīng)對的也是得心應(yīng)手�����。紫光云DDoS防御為用戶打造全方位分層網(wǎng)絡(luò)流量檢測,智能清洗系統(tǒng):提供超過1T的防御帶寬足以將攻擊輕松化解�����;根據(jù)各行業(yè)特點及受攻擊歷史情況預(yù)制最優(yōu)DDoS防御解決方案��,同時提供定制化的DDoS防御服務(wù)�;此外云端清洗防御,讓操作更簡單�,無需任何部署,即可簡單�����、快速接入��。不僅降低操作時間和防御成本���,更滿足適應(yīng)業(yè)務(wù)發(fā)展所需的可擴展性�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
