DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道法术”

Posted 信息安全守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道法术”相关的知识,希望对你有一定的参考价值。

近日,利用Memcached服务器实施反射DDoS攻击的事件呈大幅上升趋势。根据CNCERT 最新发现显示,截止本周,已发现反射型攻击峰值流量高达1.94Tbps。



一般而言,我们会根据针对的协议类型和攻击方式的不同,把DDoS攻击分成网络层攻击和应用层攻击两大类。


网络层攻击

攻击原理

影响程度

SYN-FLOOD

4颗星

ACK-FLOOD

对于虚假的ACK包,目标设备会直接回复RST包丢弃连接,所以伤害值远不如syn-flood。

3颗星

UDP-FLOOD

3颗星

ICMP-FLOOD

Ping洪水,比较古老的方式,现在基本废弃掉了。

1颗星

应用层攻击

攻击原理

影响程度

CC类

通过botnet的傀儡主机或寻找匿名代理服务器,向目标发起大量真实的http请求,占满服务器并发连接数,尽可能使请求避开缓存而直接读数据库,读数据库要找最消耗资源的查询,最好无法利用索引,每个查询都全表扫描,这样就能用最小的攻击资源起到最大的拒绝服务效果。当CC攻击发生时,不仅OLTP的部分受到了影响,实际上CC会产生大量日志,直接会对后面的OLAP产生影响,影响包括两个层面,一个当日的数据统计完全是错误的。第二个层面因CC期间访问日志剧增也会加大后端数据处理的负担,CC是目前应用层攻击的主要手段之一。

5颗星

DNS  FLOOD

4颗星

慢速连接攻击

针对http协议,以知名的slowloris攻击为起源:先建立http连接,设置一个较大的content-length,每次只发送很少的字节,让服务器一直以为http头部没有传输完成,这样的连接一多很快就会出现连接耗尽

现在已出现了一些变种,http慢速的post请求和慢速的read请求都是基于相同的原理。

4颗星

目前流行的攻击方式:

混合型攻击

在实际大流量的攻击中,通常并不是以上述一种数据类型来攻击,往往是混杂了TCP和UDP流量,网络层和应用层攻击同时进行

5颗星

扫段攻击

4颗星

脉冲型攻击

很多攻击持续的时间非常短,通常5分钟以内,流量图上表现为突刺状的脉冲。

之所以这样的攻击流行是因为“打-打-停-停”的效果最好,刚触发防御阈值,防御机制开始生效攻击就停了,周而复始的利用防御规则的生效灰度期,在触发防御前完成攻击会有不错的效果,在结果上就表现为脉冲效果。

4颗星

反射型攻击

5颗星

Memcached反射攻击,其实就是属于UDP反射攻击的一种,它的特点不是防御难度高,而是因为放大倍数足够大,以至于黑客越来越容易发动大规模的DDoS攻击,我们可预判随着Memcached反射攻击方式被更多人利用,未来将面对常态化的T级攻击事件,中新金盾愿与您携手同行,共同面对大规模DDoS攻击。


我们从“道、法、术”的角度看DDoS攻击,对于攻击者来说,最终的“道”就是完成其政治目的、经济目的等各类动机,使用的“法”就是造成目标客户的出口带宽资源拥塞或业务及服务资源不可用,通过的“术”就是上述的各类型DDoS攻击方式。


自古“攻”和“防”都是对立的,我们既然从攻击者的角度看清楚了DDoS的本质,那么从“防”的角度中新金盾为客户提供了全新的“道、法、术”防御体系——安道者立体DDoS防御体系。

从DDoS攻防的“道”上,我们可以发现,在DDoS攻防博弈的过程实际上就是资源对抗的过程,短时间以小博大、以少胜多的无非是造成防御资源紧张,中新金盾安道者平台提供了分布式单点T级别,电信、联通、北方、南方拥有多个单点至少1T的防御节点,全网高达8Tb的全球范围内的防御节点,通过金盾云平台实时调度,在应对大规模资源对抗的DDoS场景,做到稳如泰山、坚如磐石的防御基础。

DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道、法、术”

从DDoS攻防的“法”上,中新金盾安道者提供“云+端”一体化的防御理念,通过用户侧金盾硬件抗D端设备与金盾云平台一体化联动防御的策略,在大规模攻击过来时,用户侧硬件与金盾云平台实时联动配合,将大流量牵引至云端各个分布式清洗节点,由各个节点进行实时清洗,最终再将首次过滤后的流量回送至用户侧硬件设备,本地硬件设备再针对应用层攻击流量做二次精细化清洗,最终将干净的流量传送至业务服务器;整个过程,秒级调度实现了弹性、灵活的应对各类型的反射型、流量型攻击,并且做到全网8T级别的防御响应“快”、防御策略“准”、清洗效果“好”的防御目标。

从DDoS攻防的“术”上,中新金盾通过在用户侧本地网络出口部署金盾单台最大520G的高防级专业硬件(规格覆盖1G-520G各类型客户群体,也可集群实现最高20T的抗D硬件能力),通过端和云平台的实时一体化联动,实现攻击过来时的阈值自动触发(即按需牵引)和持续型接入安道者防护的两种灵活防护方式,满足各类型企业客户、IDC客户群、行业客户群的需求;同时中新金盾将连续十五年在DDoS防御领域的核心技术积累融合到防御算法里面,针对新型扫段攻击、脉冲型攻击及应用层例如CC类攻击和慢速攻击等具有高效的防御效果。中新金盾-安道者防御体系可以为以上用户群提供如下收益:


云端联动、立体协防

中新网安首家推出云清洗及端设备一体化协同管理和实时联动的理念,当攻击流量超出端设备预设阈值时,可自动将流量牵引至云清洗中心,同时进行短信、邮件预警通知,并且能够统一管控云清洗服务及端设备安全策略配置,可根据自身防御需求进行更灵活的防护策略变更,突破传统单兵作战思路,最大化缓解混合DDoS攻击压力。


海量清洗,全面防御

中新网安拥有庞大的硬件清洗节点,全网清洗能力高达8Tb,所有的流量经过安道者云防护及硬件防御设备的多层策略,足以对任何形式的DDoS攻击完成瞬间清洗,确保用户的网站与服务器随时处于安全状态。


精细策略、独享定制

中新网安的端前金盾DDoS防护设备为用户提供7x24h不间断的定制化清洗,从目前最低1G到最高单台520G的专业硬件设备,覆盖各类体量的用户群体。用户根据自身不同业务需求在端设备上部署高效、针对性的精细化、细颗粒的防护策略及功能插件,同时通过独享的金盾专家1对1服务及自助式的防护平台入口,有效防护各种复杂应用层攻击,并大量避免传统单一云防护所存在的误杀误判风险。


秒级调度、快速响应

中新网安在全球数十个百G以上的机房建立分布式清洗节点,在国内实现电信、联通、北方、南方多个单点1T的防御能力;独创的智能流量调度系统,能将各类型攻击流量以秒级响应速度分散到整个安全防御网络之中消化,从而降低单个节点的防御压力。


精准断源、态势感知

中新网安与CERT、运营商、IDC及互联网企业联动合作,对恶意网络攻击行为进行特征提取,精准定位攻击源头,并根据攻击源类型采用针对性的主动防御,在遭受重大损失时还可通过溯源技术提取电子证据,作为法律武器给予攻击者有效打击。


巧妙隐藏、按需接入


通过以上分析,我们的客户接入安道者“云+端”立体防御平台以后,中新金盾帮助各类客户群(IDC、运营商、互联网企业、政府、金融、能源、教育等)实现了既能满足大流量DDoS攻击防御能力,又能精细化防御应用层各类攻击,最擅长防御混合型、新型各类DDoS攻击,让我们的用户在今后面对更严峻的T级别、常态化的DDoS攻击的时候,可以从容面对,安枕无忧。




中新网安致力成为 “新时代网络空间信息安全守护者”,重点围绕国家关键基础设施(电信、交通、能源、电力等);重要信息系统(党政、金融、财税、经贸等);重要公众服务(互联网 + 政务、互联网 + 金融、互联网 +医疗、互网 + 民生等);重要监管单位(公安部、国家互联网应急响应中心、中国信息安全测评中心、等级保护测评中心等)为服务对象,秉承务实、正直、进取、创新的态度,为客户提供专业的信息安全一体化服务与用户共享和谐、安全、美好的网络空间。





以上是关于DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道法术”的主要内容,如果未能解决你的问题,请参考以下文章

关于利用memcached服务器实施反射DDoS攻击的情况通报

[漏洞预警]利用Memcached 服务器实施反射DDos攻击情况报告

「安全公告」Memcached 反射攻击安全风险公告

关于Memcached反射型DRDoS攻击分析

DDOS攻击网站能不能被防御呢

DDoS 攻击与防御:从原理到实践(上)