758.6G每秒：阿里云成功防御国内最大规模Memcached DDoS反射攻击

Posted 2021-05-02 花生IT

UULink 点击加入IT人脉圈 小程序

本周，阿里云安全DDoS监控中心数据显示，利用Memcached 进行DDoS攻击的趋势快速升温。今天， 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。

如下是Memcached型反射型DDoS攻击的抓包样本，从UDP协议+源端口11211的特征，可以快速分辨这种攻击类型。

 

 

令人担忧的一点是，利用Memcached可以数万倍的放大报文，即返回的报文大小是请求大小的数万倍，攻击者可以利用非常少的带宽即可发起流量巨大的DDoS攻击。而NTP和SSDP反射攻击一般只能放大数十倍到数百倍。Memcached放大反射DDoS攻击因为其放大倍数能产生更大的破坏力。

  

 

攻击态势

 

随着利用Memcached进行DDoS攻击技术的公开，越来越多尝试使用Memcached进行反射的DDoS发生，并且此类型DDoS攻击正快速上升。

 

近期，黑客已经扫描并收集全球可以被利用的MemcachedIP，并出现大量试探性超大流量Memcached DDoS攻击，下一步Memcached大流量DDoS攻击将成熟化并大量出现，成为黑客新的利器。

 

 

当前互联网上的反射点数量及危害

 

整个互联网可以用于Memcached反射的IP达到数十万，为攻击者提供了海量的军火库。

随着超大流量DDoS发起难度降低，IDC和云服务商需要储备更多的网络带宽用于防御，中小型IDC将很难应对这种超大规模DDoS攻击，只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。

 

目前，阿里云已提供Memcached安全配置建议，并在安骑士提供修复引导，帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。

—

 

（1）  什么是Memcached？

 

Memcached 是一个高性能的分布式内存对象缓存系统，用于动态Web应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数，从而提高动态、数据库驱动网站的速度。

 

（2）  Memcached业务场景？

 

如果网站包含了访问量很大的动态网页，那么数据库的负载将会很高。由于大部分数据库请求都是读操作，大部分读较高的业务系统采用Memcached减少数据库读，实现缓存功能可以显著地减小数据库负载，提升网站性能。

 

（3）  为什么Memcached会被利用与反射放大DDoS攻击？

 

- 由于Memcache（版本低于1.5.6）默认监听UDP，天然满足反射DDoS条件

- 很多用户将服务监听在0.0.0.0，且未进行iptables规则配置，这导致可以被任意来源IP请求

- Memcached反射的倍数达到数万倍，非常利于用于放大报文倍数行成超大流量的DDoS攻击

 

针对如何防范Memcached，阿里云安全专家有两个方面的建议：

 

首先，如何避免被利用成为Memcached反射端：

建议对运行的Memccached服务进行安全检查和加固，防止被黑客利用发起DDoS攻击造成不必要的带宽流量；

如果您的Memcached版本低于1.5.6，且不需要监听UDP。您可以重新启动Memcached 加入 -U 0启动参数，例如：Memcached -U 0，禁止监听在udp协议上

更多Memcached服务安全加固文档：

https://help.aliyun.com/knowledge_detail/37553.html

如果您购买了阿里云云盾安骑士，您可以在安骑士控制台根据引导进行修复。

 

第二，如何防护Memcached DDoS反射攻击

1. 建议优化业务架构，将业务分散到多个IP上；

2. 利用Memcached可以相对容易发起超大流量DDoS攻击，防御Memcached攻击需要储备足够的带宽。如果遇到大流量反射攻击，可以采购云清洗服务，并建议采用针对UDP反射进行过滤的云清洗服务。阿里云高防IP已推出UDP封堵服务。

 

 

参考链接：

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

微信群已开放申请加人。

大家都不缺群，但有价值的群永远稀缺。

长按二维码加群管理员微信。

申请备注：公司+业务+实名。

 

UULink 点击加入IT人脉圈 小程序