互聯(lián)網(wǎng)核戰(zhàn)爭打響?放大系數(shù)超5萬倍DDoS攻擊事件爆發(fā)
從一枚子彈變成一顆核彈,從一滴水變成汪洋大海,這種情況是否只存在于大家的想象之中?本周,360信息安全部0kee Team監(jiān)測到一種利用Memcache的超大規(guī)模DDoS攻擊事件,攻擊者只需向Memcache服務器發(fā)送小字節(jié)請求,就可誘騙服務器將數(shù)萬倍的響應數(shù)據(jù)包發(fā)送給被攻擊者,形成DDoS攻擊。
本文引用地址:http://2s4d.com/article/201803/376393.htm360安全團隊率先發(fā)出面向全球的重要預警,目前全球已有多個云服務器遭到攻擊,已知的最高流量接近1.4T,進入集中爆發(fā)期,未來還可能持續(xù)出現(xiàn)更多該類型的DDoS攻擊事件。
反射式DDoS攻擊:“熊孩子”秒變“綠巨人”
據(jù)悉,這種利用Memcache服務器的反射型DDoS攻擊,早在2017年6月前后由360 0kee Team首先發(fā)現(xiàn),并于同年11月 PoC 2017會議報告上,詳細介紹了其攻擊原理和潛在危害。
所謂DDoS攻擊是通過大量合法的請求占用大量網(wǎng)絡資源,最終致使網(wǎng)絡癱瘓。就好比在一個正常營業(yè)的商鋪,突然有一群“熊孩子”蜂擁而至,把整個店面占滿,想買東西的顧客擠進不來,里面的商品也賣不出去,這時,商鋪就是受到了來自“熊孩子”的DDoS攻擊。
而Memcache作為分布式高速緩存系統(tǒng),可幫助大型或者需要頻繁訪問數(shù)據(jù)庫的網(wǎng)站來提升訪問速度。此次核彈級的DDoS攻擊,正是網(wǎng)絡犯罪分子利用Memcache作為DRDoS放大器進行放大的攻擊事件。
360安全團隊介紹,近日發(fā)現(xiàn)的攻擊事件中,攻擊者首先向Memcache服務器發(fā)送小字節(jié)請求,并要求Memcache服務器將作出回應的數(shù)據(jù)包發(fā)給指定IP(即受害者);Memcache服務器接收到請求后,由于 UDP協(xié)議并未正確執(zhí)行,產(chǎn)生了數(shù)萬倍大小的回應,并將這一巨大的回應數(shù)據(jù)包發(fā)送給受害者;此時受害者就遭遇了“人在家中坐,禍從天上來”的局面。也就是說攻擊者能誘騙 Memcache服務器將過大規(guī)模的響應包發(fā)送給受害者。
這樣看來,本次攻擊事件還不完全是單純的“熊孩子”式的攻擊,而像是攻擊者釋放出了成千上萬的“熊孩子”,并讓他們先去了 Memcache服務器。在這里,他們突然被放大無數(shù)倍,變成了成千上萬個“綠巨人”,然后再浩浩蕩蕩奔向商鋪(受害者)。這時,受攻擊的商鋪別說正常營業(yè)了,儼然已經(jīng)崩潰、癱瘓。
這種間接 DDoS攻擊就是“反射式DDoS攻擊”,而其中服務器響應數(shù)據(jù)包被放大的次數(shù)則被稱為DDoS攻擊的“放大系數(shù)”。360安全團隊指出,這次攻擊具有放大倍數(shù)高、影響服務器范圍廣兩大特點。
放大系數(shù)超5萬倍堪稱“核彈級攻擊”
目前,該類型的DDoS攻擊放大倍數(shù)可達到5.12萬倍,且Memcache服務器數(shù)量較多,在2017年11月時,估算全球約有六萬臺服務器可以被利用,并且這些服務器往往擁有較高的帶寬資源。
最近一周以來,利用Memcache放大的DDoS攻擊事件爆發(fā)式增長,攻擊頻率從每天不足50件增加到每天300至400件,360安全團隊表示,可能有更大的攻擊案例并未被公開報道。
針對本次史上罕見的DDoS攻擊事件,360安全團隊在發(fā)布預警的同時,對Memcache使用者給出了以下三點建議:
1.Memcache的用戶建議將服務放置于可信域內(nèi),有外網(wǎng)時不要監(jiān)聽 0.0.0.0,有特殊需求可以設置acl或者添加安全組。
2.為預防機器 掃描和ssrf等攻擊,修改memcache默認監(jiān)聽端口。
3.升級到最新版本的memcache,并且使用SASL設置密碼來進行權(quán)限控制。
此外,360安全團隊還發(fā)布了本次DDoS攻擊的詳細技術(shù)報告,并表示接下來的一段時間內(nèi),或?qū)⒈l(fā)更多利用Memcached進行DRDoS的事件,如果本次攻擊效果被其他DDoS團隊所效仿,將帶來難以預計的嚴重后果,對此,360安全團隊將持續(xù)監(jiān)控本次攻擊事件,并及時做出響應措施。
評論