核弹级Memcached DRDoS的攻守道

Posted 盛邦安全WebRAY

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了核弹级Memcached DRDoS的攻守道相关的知识,希望对你有一定的参考价值。


近日来,一种利用Memcached系统发起的新型大规模反射型攻击受到我们的关注。


核弹级Memcached DRDoS的攻守道


Memcached是一款开源、高性能、分布式内存对象缓存系统,可应用各种需要缓存的场景。由于性能卓越,目前在国内外众多大型互联网应用中被广泛使用。



核弹级Memcached DRDoS的攻守道




小编先用一个形象的例子来介绍下这种攻击的前世今生(总是不由得想要拿隔壁老王说事儿。。。)

核弹级Memcached DRDoS的攻守道

对发起源进行认证的可信连接,就像TCP


核弹级Memcached DRDoS的攻守道


核弹级Memcached DRDoS的攻守道

有缺陷或漏洞的网络协议,

如ICMP,UDP 等,对源 IP 不进行认证


核弹级Memcached DRDoS的攻守道


核弹级Memcached DRDoS的攻守道

由于对源 IP 不进行认证,所以容易被伪造欺骗


核弹级Memcached DRDoS的攻守道


核弹级Memcached DRDoS的攻守道

既然容易被欺骗,

也就具备了被利用的可能,即“反射”


核弹级Memcached DRDoS的攻守道


核弹级Memcached DRDoS的攻守道

大量的连接请求,就会让目标疲于响应,资源耗尽,即“DDoS攻击”,而这种不直接进攻,而是利用第三方反射的攻击,就是传说中的DrDoS,即反射型DDoS攻击,也可以叫做放大型DDoS攻击


核弹级Memcached DRDoS的攻守道


核弹级Memcached DRDoS的攻守道

响应数据包被放大的倍数被称为 DDoS攻击的“放大系数”,一般的反射型攻击放大系数在几十到几百之间,常被利用的DNS协议、NTP协议等;而此次利用Memcrashed发起的反射型攻击,放大系数高达五万倍!


核弹级Memcached DRDoS的攻守道


核弹级Memcached DRDoS的攻守道

Memcached缓存系统作为目前最为广泛使用的分布式内存缓存系统,由于其卓越的性能,在国内外众多大型互联网应用中被广泛使用。巨大的使用量,结合其易被利用的协议特性,再加上使用者在安全使用策略上的缺失,导致其一旦被利用发起攻击,将是史上最强的核弹级DrDoS攻击。


核弹级Memcached DRDoS的攻守道



随着事态的曝光,利用Memcached 进行DrDoS攻击的趋势正在快速上升。国内外多家知名安全机构监控到了大流量的攻击, 部分攻击已经高达700多G。


大会在即,盛邦安全锐堤RayADS异常流量清洗系统和锐御RayWAF Web应用防护系统第一时间发布更新,在UDP反射攻击策略模块更新了针对Memcached DrDoS的专项防护策略,对其进行针对性清洗防护,为网络安全保驾护航。


核弹级Memcached DRDoS的攻守道




攻守道

第一式——非攻

对于Memcache使用者,要保证自己不被利用成为“放大器”,安全建议:

1、升级最新Memcache版本,提升自身安全性;

2、指定必要的安全策略,做可信可控的访问;

3、修改默认的端口或添加端口扫描防护策略,防止被发现利用。


第二式——固守

1、对于Memcached DrDoS防范者,部署专业的DDoS清洗设备,添加针对性的防护策略;

2、提高风险监控等级,利用限速和动态封禁等组合策略进行应急处置。



关于WebRAY


远江盛邦(北京)网络安全科技股份有限公司(简称WebRAY或者 盛邦安全,证券代码:836731),2017年新三板最具投资价值(TMT)行业排名12名。专注于WEB安全治理的前沿技术创新,凭借强大的应用安全产品与服务,为用户的核心业务和关键信息资产提供安全保障,是中国领先的WEB安全产品与解决方案提供商,Web治理体系领导品牌。2017年入选IDC【中国大数据安全】创新者。


核弹级Memcached DRDoS的攻守道


点击“阅读原文”


以上是关于核弹级Memcached DRDoS的攻守道的主要内容,如果未能解决你的问题,请参考以下文章

关于Memcached反射型DRDoS攻击分析

无惧1.35TB Memcached DRDoS攻击,华为云安全一直在行动

未然预警 | Memcached被滥用于DRDoS攻击

转载深度剖析Memcached超大型DRDoS攻击

深度剖析 Memcached 超大型DRDoS攻击

海腾数据丨深度剖析Memcached超大型DRDoS攻击