規模空前的DDoS或將來襲:Memcache伺服器可被利用進行大規模DDoS攻擊
最近Cloudflare的研究人員發現,黑客可以利用少量的Memcache伺服器資源發動大規模的DDoS攻擊。經研究,這種類型的DDoS攻擊是很可能實現的,因為Memcache開發者已經在他們的產品中實現了對UDP協議的支持。
Memcache是一套分散式的高速緩存系統,它最初是由綜合型SNS交友網站LiveJournal的創建者美國程序員Brad Fitzpatrick開發的。
目前,Memcache已被許多網站所使用,用以提升網站的訪問速度,尤其對於一些大型的或者需要頻繁訪問資料庫的網站來說,其提升訪問速度的效果十分顯著。
安全公司Cloudflare和Arbor Networks在本周二均發出警告,稱Memcache伺服器已經遭到網路犯罪分子的濫用,在他們的終端上使用非常少的計算資源發起大規模的分散式拒絕服務(DDoS)攻擊。
相關安全專家表示,通過Memcache伺服器發起DDoS攻擊是可行的,因為Memcache的開發團隊已經在他們的產品中實現了對UDP協議的支持。
更糟的是,Memcache伺服器還會以默認配置將其UDP埠暴露給外部連接,這意味著任何不在防火牆後面的Memcache伺服器現在都可能被濫用於發起DDoS攻擊。
此外,更糟糕的是,Memcache伺服器還會將他們的UDP埠暴露在默認配置的外部連接中,這意味著任何不支持防火牆的Memcache伺服器現在都可以被用於DDoS攻擊。
Memcache伺服器可用於發動反射型DDoS攻擊
Cloudflare的研究人員表示,他們已經在過去幾天內檢測到通過暴露的Memcached伺服器進行的多次DDoS攻擊。目前,該檢測報告已經發布,你可以點此查看詳細分析。
具體過程是這樣的,黑客通過埠11211向Memcached伺服器發送小位元組的請求。由於UDP協議沒有被正確執行,因此Memcache伺服器並未以類似或更小的包予以響應,所以Memcache伺服器有時會使用的響應數據包比初始請求大數千倍。
因為數據包是UDP協議,所以它的源IP地址就很容易被欺騙,這意味著攻擊者可以誘騙Memcache伺服器將這個過大的響應數據包發送到另一個IP地址即受害者的IP。
在DDoS的社交論壇中,黑客把這種類型的DDoS攻擊被稱為「reflective DDoS」或「reflection DDoS」。響應數據包被放大多少倍,DDoS 攻擊的能量就會相應放大多少,行話稱為DDoS攻擊的「放大係數」。
Memcache的放大倍數可高達51200倍
根據Cloudflare的分析,基於Memcache的反射型DDoS攻擊可能具有高達51200的「放大係數」。這個數據來源於Cloudflare所檢測到的一次DDoS攻擊,當時攻擊者發送了15位元組的數據包,而Memcache則伺服器使用了750kB數據包進行了響應。
不過,這種「放大係數」可能會在不同環境下有所不同,具體取決於攻擊者製作惡意請求的能力,攻擊者構造的惡意請求規模越大,響應的數據包也就越多。
Cloudflare還表示,過去兩天所檢測到的基於Memcache的反射型DDoS攻擊最大規模高達每秒260Gbp和每秒23 Mpp(百萬包)。Cloudflare工程師Marek Majkowski表示:大部分Memcache響應的數據包的大小為1400位元組,用23Mppx1400位元組等於257Gbp,即提供了每秒257Gbp的帶寬。
目前可利用的Memcache伺服器已超過9.3萬台,可被用於發動反射型DDoS攻擊的其它協議和技術還包括DNS、TFTP、LDAP、CLDAP、SNMP、BitTorrent等。他們所能達到的「放大係數」通常在2到10之間,最大可達50到100。很少會發現DDoS攻擊的「放大係數」會超過100的案例,更不用說10000或50000,但Memcache 的放大倍數卻做到了。
攻擊範圍
Memcache並不會成為流行的網頁緩存解決方案,所以這類攻擊不會造成大範圍的影響。雖然Bleeping Computer發現超過93000個Memcache伺服器可以在線訪問,但相比於2015年的134000訪問量已經很少了。
緩解措施
安全狗建議所有Memcache伺服器的使用者如果不使用,UDP埠則將他們關閉,並將這些伺服器置於個人網路中並部署防火牆進行保護。
TAG:安全狗 |