Memcached超大型DRDoS攻擊 中國電信云堤與綠盟科技聯(lián)合報告揭露真相

近日， 國內(nèi)外多家安全公司和機構發(fā)布了Memcached超級DRDoS(Distributed Reflection Denial of Service)攻擊的預警，引發(fā)各方關注。今天中國電信云堤與綠盟科技聯(lián)合發(fā)布報告《深度剖析Memcached 超大型DRDoS攻擊》，報告指出從本周一至周五(2月26日至3月2日 06:00)短短5天內(nèi)，全球就發(fā)生了79起利用Memcached協(xié)議的DDoS反射放大攻擊。日攻擊總流量最高達到419TBytes。

深度剖析Memcached 超大型DRDoS攻擊

近日，國內(nèi)外多家安全公司和機構發(fā)布了Memcached超級DRDoS(Distributed Reflection Denial of Service，分布式反射拒絕服務)攻擊的預警，引發(fā)各方關注。據(jù)我們的監(jiān)控顯示，目前該攻擊的最大峰值流量已經(jīng)達到了1.35T。而在2月27號，Memcached的反射攻擊事件流量范圍不過幾百兆到最大500G左右。幾日之隔，攻擊峰值的歷史紀錄就迅速被翻倍刷新，并且攻擊發(fā)生的頻率從一天十幾次到幾百次，呈現(xiàn)爆發(fā)式增長。這是要搞大事情!

其中，針對我國境內(nèi)的Memcached反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達505Gbps。攻擊持續(xù)時間最長的一次發(fā)生在3月1日，持續(xù)1.2小時，總攻擊流量達103.8TBytes。

其中，針對我國境內(nèi)的Memcached反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達505Gbps。攻擊持續(xù)時間最長的一次發(fā)生在3月1日，持續(xù)1.2小時，總攻擊流量達103.8TBytes。

Memcached分布情況

最新統(tǒng)計顯示，全球總共有3790個Memcached服務器被利用參與到這些Memcached反射放大攻擊。這些被利用反射源遍布于全球96個國家或地區(qū)范圍內(nèi)。其中，美國就占了全球的1/4。

分布在中國地區(qū)的被利用的Memcached服務器位列第二位，占比12.7%。在中國各省份占比如下所示，廣東、北京、浙江為TOP3。 綠盟威脅情報中心NTI (NSFOCUS Network Threat Intelligence，簡稱NTI)的統(tǒng)計結果顯示，全球范圍內(nèi)存在被利用風險的Memcached服務器為104,506臺。分布情況如下：

從地理分布來看，美國可被利用的Memcached服務器最多，其次是中國。

僅從放大倍數(shù)來看，Memcached反射攻擊的危害程度遠遠高于其他反射攻擊類型，US-Cert提供的數(shù)據(jù)顯示它能夠?qū)崿F(xiàn)51,000倍的放大效果。

與其他反射攻擊相比，Memcached如何實現(xiàn)這么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能。前文提到key-value的作用是決定存儲容量的大小，正常情況下key-value的值通常不超過幾千字節(jié)。當Memcached被攻擊者利用作為反射器時，key-value的值經(jīng)過修改可以達到100萬字節(jié)以上。

這個攻擊過程，我們通過實驗室也進行了完整復現(xiàn)。

觸發(fā)Memcached反射攻擊的請求報文最小為15字節(jié)，而返回的請求數(shù)據(jù)達到105萬字節(jié)，理論上可放大到接近7萬倍。如此強悍的放大攻擊，與其他各類DRDoS攻擊形成斷崖式的差距對比。

Memcached攻擊防護加固建議

Memcached系統(tǒng)自查建議

攻擊的形成過程為我們提供了一個很好的預警思路，安全產(chǎn)品可針對Memcached的key-value配置進行檢測，在Memcached系統(tǒng)被利用成為攻擊源之前就進行攔截。檢測流程如下，技術建議詳見報告。

Memcached攻擊流量清洗

面對如此大規(guī)模、大范圍的DDoS攻擊威脅，所有網(wǎng)絡安全節(jié)點都應該加強防范，從攻擊防護和外發(fā)清洗兩方面入手，充分保障基礎設施和業(yè)務流量的安全。針對此攻擊，我們提供如下防護建議，技術建議詳見報告。

運營商。運營商及IDC處于網(wǎng)絡上游，擁有強大的帶寬資源，是攻擊最直接的受害者，也是防護的第一道屏障。運營商能夠靈活控制路由策略和防護策略進行快速過濾。

企業(yè)用戶。企業(yè)用戶通常貼近服務終端，熟悉掌握自身業(yè)務流量特點，策略配置更加明確，靈活性強。

Memcached系統(tǒng)防護加固

對于正在使用Memcached系統(tǒng)的用戶，為了避免被攻擊者利用，使Memcached成為攻擊源，對外發(fā)起攻擊流量，影響自身系統(tǒng)性能，我們提供如下幾點建議。

1)在邊界網(wǎng)絡設備上配置URPF策略，過濾外發(fā)的虛假源IP報文;

2)在Memcached系統(tǒng)前進行深度檢測，直接過濾報文特征中set key 0 900 64000的第三個字段過大的數(shù)據(jù)包，這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進行攔截;

3)對Memcached服務進行安全檢查，查看Memcached服務是否監(jiān)聽UDP端口。查找Memcached進程，查看是否有-l參數(shù)，如果沒有則默認為0.0.0.0。若Memcached服務不需要監(jiān)聽UDP，禁用UDP。詳情參考Memcached官方文檔：

https://github.com/memcached/memcached/wiki/ConfiguringServer#udp