核弹级Memcached DRDoS的攻守道
Posted 盛邦安全WebRAY
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了核弹级Memcached DRDoS的攻守道相关的知识,希望对你有一定的参考价值。
近日来,一种利用Memcached系统发起的新型大规模反射型攻击受到我们的关注。
Memcached是一款开源、高性能、分布式内存对象缓存系统,可应用各种需要缓存的场景。由于性能卓越,目前在国内外众多大型互联网应用中被广泛使用。
小编先用一个形象的例子来介绍下这种攻击的前世今生(总是不由得想要拿隔壁老王说事儿。。。)
对发起源进行认证的可信连接,就像TCP
有缺陷或漏洞的网络协议,
如ICMP,UDP 等,对源 IP 不进行认证
由于对源 IP 不进行认证,所以容易被伪造欺骗
既然容易被欺骗,
也就具备了被利用的可能,即“反射”
大量的连接请求,就会让目标疲于响应,资源耗尽,即“DDoS攻击”,而这种不直接进攻,而是利用第三方反射的攻击,就是传说中的DrDoS,即反射型DDoS攻击,也可以叫做放大型DDoS攻击
响应数据包被放大的倍数被称为 DDoS攻击的“放大系数”,一般的反射型攻击放大系数在几十到几百之间,如常被利用的DNS协议、NTP协议等;而此次利用Memcrashed发起的反射型攻击,放大系数高达五万倍!
Memcached缓存系统作为目前最为广泛使用的分布式内存缓存系统,由于其卓越的性能,在国内外众多大型互联网应用中被广泛使用。巨大的使用量,结合其易被利用的协议特性,再加上使用者在安全使用策略上的缺失,导致其一旦被利用发起攻击,将是史上最强的核弹级DrDoS攻击。
随着事态的曝光,利用Memcached 进行DrDoS攻击的趋势正在快速上升。国内外多家知名安全机构监控到了大流量的攻击, 部分攻击已经高达700多G。
大会在即,盛邦安全锐堤RayADS异常流量清洗系统和锐御RayWAF Web应用防护系统第一时间发布更新,在UDP反射攻击策略模块更新了针对Memcached DrDoS的专项防护策略,对其进行针对性清洗防护,为网络安全保驾护航。
攻守道
第一式——非攻
对于Memcache使用者,要保证自己不被利用成为“放大器”,安全建议:
1、升级最新Memcache版本,提升自身安全性;
2、指定必要的安全策略,做可信可控的访问;
3、修改默认的端口或添加端口扫描防护策略,防止被发现利用。
第二式——固守
1、对于Memcached DrDoS防范者,部署专业的DDoS清洗设备,添加针对性的防护策略;
2、提高风险监控等级,利用限速和动态封禁等组合策略进行应急处置。
关于WebRAY
远江盛邦(北京)网络安全科技股份有限公司(简称WebRAY或者 盛邦安全,证券代码:836731),2017年新三板最具投资价值(TMT)行业排名12名。专注于WEB安全治理的前沿技术创新,凭借强大的应用安全产品与服务,为用户的核心业务和关键信息资产提供安全保障,是中国领先的WEB安全产品与解决方案提供商,Web治理体系领导品牌。2017年入选IDC【中国大数据安全】创新者。
点击“阅读原文”
以上是关于核弹级Memcached DRDoS的攻守道的主要内容,如果未能解决你的问题,请参考以下文章