Memcached超大型DRDoS攻擊 中國電信云堤與綠盟科技聯(lián)合報(bào)告揭露真相

近日， 國內(nèi)外多家安全公司和機(jī)構(gòu)發(fā)布了Memcached超級DRDoS(Distributed Reflection Denial of Service)攻擊的預(yù)警，引發(fā)各方關(guān)注。今天中國電信云堤與綠盟科技聯(lián)合發(fā)布報(bào)告《深度剖析Memcached 超大型DRDoS攻擊》，報(bào)告指出從本周一至周五(2月26日至3月2日 06:00)短短5天內(nèi)，全球就發(fā)生了79起利用Memcached協(xié)議的DDoS反射放大攻擊。日攻擊總流量最高達(dá)到419TBytes。

深度剖析Memcached 超大型DRDoS攻擊

近日，國內(nèi)外多家安全公司和機(jī)構(gòu)發(fā)布了Memcached超級DRDoS(Distributed Reflection Denial of Service，分布式反射拒絕服務(wù))攻擊的預(yù)警，引發(fā)各方關(guān)注。據(jù)我們的監(jiān)控顯示，目前該攻擊的最大峰值流量已經(jīng)達(dá)到了1.35T。而在2月27號，Memcached的反射攻擊事件流量范圍不過幾百兆到最大500G左右。幾日之隔，攻擊峰值的歷史紀(jì)錄就迅速被翻倍刷新，并且攻擊發(fā)生的頻率從一天十幾次到幾百次，呈現(xiàn)爆發(fā)式增長。這是要搞大事情!

其中，針對我國境內(nèi)的Memcached反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達(dá)505Gbps。攻擊持續(xù)時(shí)間最長的一次發(fā)生在3月1日，持續(xù)1.2小時(shí)，總攻擊流量達(dá)103.8TBytes。

其中，針對我國境內(nèi)的Memcached反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達(dá)505Gbps。攻擊持續(xù)時(shí)間最長的一次發(fā)生在3月1日，持續(xù)1.2小時(shí)，總攻擊流量達(dá)103.8TBytes。

Memcached分布情況

最新統(tǒng)計(jì)顯示，全球總共有3790個(gè)Memcached服務(wù)器被利用參與到這些Memcached反射放大攻擊。這些被利用反射源遍布于全球96個(gè)國家或地區(qū)范圍內(nèi)。其中，美國就占了全球的1/4。

分布在中國地區(qū)的被利用的Memcached服務(wù)器位列第二位，占比12.7%。在中國各省份占比如下所示，廣東、北京、浙江為TOP3。 綠盟威脅情報(bào)中心NTI (NSFOCUS Network Threat Intelligence，簡稱NTI)的統(tǒng)計(jì)結(jié)果顯示，全球范圍內(nèi)存在被利用風(fēng)險(xiǎn)的Memcached服務(wù)器為104,506臺(tái)。分布情況如下：

從地理分布來看，美國可被利用的Memcached服務(wù)器最多，其次是中國。

僅從放大倍數(shù)來看，Memcached反射攻擊的危害程度遠(yuǎn)遠(yuǎn)高于其他反射攻擊類型，US-Cert提供的數(shù)據(jù)顯示它能夠?qū)崿F(xiàn)51,000倍的放大效果。

與其他反射攻擊相比，Memcached如何實(shí)現(xiàn)這么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能。前文提到key-value的作用是決定存儲(chǔ)容量的大小，正常情況下key-value的值通常不超過幾千字節(jié)。當(dāng)Memcached被攻擊者利用作為反射器時(shí)，key-value的值經(jīng)過修改可以達(dá)到100萬字節(jié)以上。

這個(gè)攻擊過程，我們通過實(shí)驗(yàn)室也進(jìn)行了完整復(fù)現(xiàn)。

觸發(fā)Memcached反射攻擊的請求報(bào)文最小為15字節(jié)，而返回的請求數(shù)據(jù)達(dá)到105萬字節(jié)，理論上可放大到接近7萬倍。如此強(qiáng)悍的放大攻擊，與其他各類DRDoS攻擊形成斷崖式的差距對比。

Memcached攻擊防護(hù)加固建議

Memcached系統(tǒng)自查建議

攻擊的形成過程為我們提供了一個(gè)很好的預(yù)警思路，安全產(chǎn)品可針對Memcached的key-value配置進(jìn)行檢測，在Memcached系統(tǒng)被利用成為攻擊源之前就進(jìn)行攔截。檢測流程如下，技術(shù)建議詳見報(bào)告。

Memcached攻擊流量清洗

面對如此大規(guī)模、大范圍的DDoS攻擊威脅，所有網(wǎng)絡(luò)安全節(jié)點(diǎn)都應(yīng)該加強(qiáng)防范，從攻擊防護(hù)和外發(fā)清洗兩方面入手，充分保障基礎(chǔ)設(shè)施和業(yè)務(wù)流量的安全。針對此攻擊，我們提供如下防護(hù)建議，技術(shù)建議詳見報(bào)告。

運(yùn)營商。運(yùn)營商及IDC處于網(wǎng)絡(luò)上游，擁有強(qiáng)大的帶寬資源，是攻擊最直接的受害者，也是防護(hù)的第一道屏障。運(yùn)營商能夠靈活控制路由策略和防護(hù)策略進(jìn)行快速過濾。

企業(yè)用戶。企業(yè)用戶通常貼近服務(wù)終端，熟悉掌握自身業(yè)務(wù)流量特點(diǎn)，策略配置更加明確，靈活性強(qiáng)。

Memcached系統(tǒng)防護(hù)加固

對于正在使用Memcached系統(tǒng)的用戶，為了避免被攻擊者利用，使Memcached成為攻擊源，對外發(fā)起攻擊流量，影響自身系統(tǒng)性能，我們提供如下幾點(diǎn)建議。

1)在邊界網(wǎng)絡(luò)設(shè)備上配置URPF策略，過濾外發(fā)的虛假源IP報(bào)文;

2)在Memcached系統(tǒng)前進(jìn)行深度檢測，直接過濾報(bào)文特征中set key 0 900 64000的第三個(gè)字段過大的數(shù)據(jù)包，這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進(jìn)行攔截;

3)對Memcached服務(wù)進(jìn)行安全檢查，查看Memcached服務(wù)是否監(jiān)聽UDP端口。查找Memcached進(jìn)程，查看是否有-l參數(shù)，如果沒有則默認(rèn)為0.0.0.0。若Memcached服務(wù)不需要監(jiān)聽UDP，禁用UDP。詳情參考Memcached官方文檔：

https://github.com/memcached/memcached/wiki/ConfiguringServer#udp