DDoS攻擊告警！中國2.5萬Memcached伺服器暴露

E安全3月2日訊 網路安全公司 Cloudflare 的研究人員發現，攻擊分子可利用相當有限的計算資源，濫用 Memcached 伺服器發動大規模 DDoS （分散式拒絕服務）攻擊。此類 DDoS 攻擊之所以成為可能，是因為 Memcached 開發人員在產品中提供 UDP 協議支持的方式不安全。更為糟糕的是，Memcached 伺服器在默認配置中將 UDP 埠暴露在外部連接中，這意味著未置於防火牆之後的所有 Memcached 伺服器均可能被濫用發起 DDoS 攻擊。

Memcached是什麼？

Memcached 是一個高性能的分散式內存對象緩存系統，用於動態Web應用以減輕資料庫負載。它通過在內存中緩存數據和對象來減少讀取資料庫的次數，從而提高動態、資料庫驅動網站的速度。

Memcached 是 LiveJournal 旗下 Danga Interactive 公司開發的一款軟體。現在已成為 mixi、hatena、Facebook、Vox、LiveJournal、GitHub 等眾多服務中提高 Web 應用擴展性的重要因素。許多Web 應用都將數據保存到 RDBMS（關係資料庫管理系統）中，應用伺服器從中讀取數據並在瀏覽器中顯示。但隨著數據量的不斷增大，會出現 RDBMS 負擔加重，資料庫響應惡化、網站顯示延遲等影響。這時Memcached 能通過緩存資料庫查詢結果，減少資料庫訪問次數，提高動態Web 應用的速度、提高可擴展性。

Memcached 伺服器可發動反射型DDoS 攻擊

Cloudflare 公司表示，攻擊者通過暴露的 Memcachedd 伺服器發起反射型 DDoS 攻擊。 攻擊者將請求發送至11211埠上的 Memcached 伺服器。由於未正確實現 UDP 協議，Memcached 伺服器並未以類似或較小的數據包予以響應，有時甚至以比初始請求大上數千倍的數據包予以響應。

反射型 DDoS 攻擊

攻擊者並不直接攻擊目標服務 IP，而是利用互聯網的某些特殊服務開放的伺服器，通過偽造被攻擊者的 IP 地址、向有開放服務的伺服器發送構造的請求報文，該伺服器會將數倍於請求報文的回複數據發送到被攻擊 IP，從而對後者間接形成 DDoS 攻擊。

由於 Memcached 伺服器採用的是 UDP 協議，其數據包的源 IP 地址能被輕易欺騙，這就意味著攻擊者可以誘騙 Memcached 伺服器將過大的響應包發送給另一個 IP 地址，也就是 DDoS 攻擊受害者的 IP 地址。響應包放大的倍數即是 DDoS 攻擊的「放大倍數」。

超大倍數反射型 DDoS 攻擊

Cloudflare公司表示，對於基於 Memcached 反射型 DDoS 攻擊，其放大倍數最高可達51200。最近一起 DDoS 攻擊中，攻擊者發送了15位元組的數據包，Memcached 伺服器以750KB的數據包予以響應。 放大倍數可能會有所不同，這取決於攻擊者是否有能力發送惡意請求，欺騙 Memcached 伺服器以更大的數據包予以響應。

Cloudflare 還指出，其觀察到的最大反射型 DDoS 攻擊（基於Memcached）峰值達到260 Gbps，吞吐量為23Mpps（每秒數百萬個數據包）。Cloudflare工程師馬雷克·閔可夫斯基表示，大多數 Memcached 響應包為1400位元組。

51200的放大倍數相當巨大。除了 UDP 協議，其它協議和技術也能被濫用發動反射型 DDoS 攻擊，例如 DNS、TFTP、LDAP、CLDAP、SNMP 和 BitTorrent。

反射型 DDoS 攻擊的放大倍數通常介於2-10之間，最大的範圍介於50-100倍之間。很少看到放大倍數超過100的反射型 DDoS 攻擊，而在這起攻擊案例中，放大倍數卻高得匪夷所思。

9.3萬台Memcached伺服器暴露

如果 Memcached 不是熱門的網頁緩存解決方案，問題不算大。截至2018年2月27日，暴露在互聯網上的 Memcached 伺服器超過9.3萬台，中國暴露了接近2.5萬台。2015年，互聯網上的 Memcached 伺服器為13.4萬台。

安全專家建議， Memcached 伺服器所有者在儘可能的情況下禁用UDP埠，並將這些伺服器放在部署了防火牆的專用網上。

Memcached 伺服器暴露問題的嚴重性，請參考今日《GitHub遭DDoS攻擊重創，系Memcached伺服器暴露》一文。

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/313885666.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！