史上最强Memcached DRDoS攻击,群英智防系统化险为夷。
Posted 群英资讯
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了史上最强Memcached DRDoS攻击,群英智防系统化险为夷。相关的知识,希望对你有一定的参考价值。
#群英资讯#
群英智防成功防御高达811Gbps流量的DDoS攻击。
Mar.
05
日前,群英智防系统成功防御一起高达811Gbps流量的DDoS攻击。
此次攻击是群英网络在2003年开创以来,遭遇的最大攻击。 就在本周,业界也爆发多起利用Memcached 服务器发动大规模 DRDoS (分布式反射拒绝服务)攻击,目前遭受最高的攻击峰值流量达1.35Tbps。以Memcached攻击为代表的反射放大型攻击的出现,预示着DDoS攻击开始从“G” 时代进入 “T”时代。
群英网络—攻击流量峰值图
根据群英监控平台的智能监测,此次UDP Flood攻击的源端口相对固定,端口号为11211,特征明显,判断为近期频发的Memcached攻击。
DDoS攻击核武器如何炼成的?
反射放大型攻击本质上是利用如UDP、IMCP等协议没有IP认证机制的特点进行IP欺骗,攻击者伪装成受害者IP向公网上基于此类协议服务的设备发起请求,最终使得公网大量设备的大量回复报文发往受害者IP而造成拒绝服务,而且设备回复的次数和报文大小往往是请求报文的数倍甚至数万倍。因此便形成了反射和放大,以极少的攻击资源通过反射和放大就能带来巨大的DDoS攻击效果。
Memcached为何会成为攻击者的“帮凶”?
Memcached是一个开源免费的分布式内存缓存系统,适用于需要维护大量开放连接的应用系统。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高了网站访问的速度。
较低版本Memcached默认开启UDP协议,进而攻击者可以利用其发起放大攻击。
Memcached应用广泛
Memcache是目前国际流行的网页缓存系统,用户发起很小请求,服务端会响应很大的报文。
根据攻击者构造恶意请求的能力不同,响应报文的放大系数也不尽相同,目前业内已知的放大系数可高达5万倍。
放大系数如此巨大已经令人胆寒,而就公开数据可知目前活跃在互联网上对外开放的Memcache服务器数量超过9.3万,其中中国境内有超过2万。当前这种攻击方式还处在被黑客利用的初期阶段,攻击量级已可轻松达到数百G,若其发展为武器化并结合现有僵尸网络进一步放大攻击流量,形成超过T级的超大规模DDoS攻击也不费吹灰之力。
群英网络的应对建议
对于Memcached使用者:
1.目前Memcached官方已经发布补丁,使用者可以尽快更新到最新版本,避免自己的Memcached服务被黑客利用作为攻击反射工具。
2.如果您的Memcached版本低于1.5.6,且不需要监听UDP。
对于非Memcached使用者:
1. 您可以禁用Memcached服务UDP端口,具体方法为:Memcached启动时,添加“-U 0”参数可完全禁用UDP(默认情况下,Memcached会侦听INADDR_ANY,并默认启用UDP)。更多Memcached服务安全加固文档:
https://github.com/memcached/memcached/wiki/ConfiguringServer#udp
2. 您可以设置安全组,禁止Memcached服务端口开放在互联网。
对于网络层防御:
如何防护您的业务受到Memcached DRDoS攻击:
① 建议优化您的业务部署架构,将业务负载分担到多个IP;
② 群英网络已第一时间在智防系统部署针对源端口为UDP 11211的检测防护策略,可以对Memcached DRDoS攻击进行有效防御,保障群英网络平台和用户的业务稳定性;
③ 利用Memcached DRDoS攻击黑客可以发起超大流量DDoS攻击,防御Memcached反射攻击需要储备足够的带宽。如果遇到超大流量反射攻击,您可以采用群英网络DDoS智防系统。
群英网络安全团队会持续跟踪威胁态势,全力积极保障用户的安全。
关注#群英资讯#
点击“阅读原文”,可跳转群英官网首页。
以上是关于史上最强Memcached DRDoS攻击,群英智防系统化险为夷。的主要内容,如果未能解决你的问题,请参考以下文章