Memcache服务器可被利用进行大规模DDoS攻击

luochicun 新闻 2018年3月2日发布
Favorite收藏

导语:最近Cloudflare的研究人员发现,黑客可以利用少量的Memcache服务器资源发动大规模的DDoS攻击。

11.png

最近Cloudflare的研究人员发现,黑客可以利用少量的Memcache服务器资源发动大规模的DDoS攻击。经研究,这种类型的DDoS攻击是很可能实现的,因为Memcache开发者已经在他们的产品中实现了对UDP协议的支持。

此外,更糟糕的是,Memcache服务器还会将他们的UDP端口暴露在默认配置的外部连接中,这意味着任何不支持防火墙的Memcache服务器现在都可以被用于DDoS攻击。

Memcache服务器可用于发动反射型DDoS攻击

Cloudflare的研究人员表示,他们已经在过去几天内检测到通过暴露的Memcached服务器进行的多次DDoS攻击。目前,该检测报告已经发布,你可以点此查看详细分析。

具体过程是这样的,黑客通过端口11211向Memcached服务器发送小字节的请求。由于UDP协议没有被正确执行,因此Memcache服务器并未以类似或更小的包予以响应,所以Memcache服务器有时会使用的响应数据包比初始请求大数千倍。

因为数据包是UDP协议,所以它的源IP地址就很容易被欺骗,这意味着攻击者可以诱骗Memcache服务器将这个过大的响应数据包发送到另一个IP地址即受害者的IP。

在DDoS的社交论坛中,黑客把这种类型的DDoS攻击被称为“reflective DDoS”或“reflection DDoS”。响应数据包被放大多少倍,DDoS 攻击的能量就会相应放大多少,行话称为DDoS攻击的“放大系数”。

Memcache的放大倍数可高达51200倍

根据Cloudflare的分析,基于Memcache的反射型DDoS攻击可能具有高达51200的“放大系数”。这个数据来源于Cloudflare所检测到的一次DDoS攻击,当时攻击者发送了15字节的数据包,而Memcache则服务器使用了750kB数据包进行了响应。

不过,这种“放大系数”可能会在不同环境下有所不同,具体取决于攻击者制作恶意请求的能力,攻击者构造的恶意请求规模越大,响应的数据包也就越多。

Cloudflare还表示,过去两天所检测到的基于Memcache的反射型DDoS攻击最大规模高达每秒260Gbp和每秒23 Mpp(百万包)。

Cloudflare工程师Marek Majkowski表示:

大部分Memcache响应的数据包的大小为1400字节,用23Mppx1400字节等于257Gbp,即提供了每秒257Gbp的带宽。

1.png

数字不会撒谎,对于一个新出现的攻击规模量来说,这个规模确实非常巨大。因为奇虎360的网络安全研究实验室(Netlab)提供的公开统计数据也显示,Memcache服务器的使用量突然增加,成为反射型DDoS的攻击源头。

2.png

目前可利用的Memcache服务器已超过9.3万台,可被用于发动反射型DDoS攻击的其它协议和技术还包括DNS、TFTP、LDAP、CLDAP、SNMP、BitTorrent等。他们所能达到的“放大系数”通常在2到10之间,最大可达50到100。很少会发现DDoS攻击的“放大系数”会超过100的案例,更不用说10000或50000,但Memcache 的放大倍数却做到了。

攻击范围

Memcache并不会成为流行的网页缓存解决方案,所以这类攻击不会造成大范围的影响。虽然Bleeping Computer发现超过93000个Memcache服务器可以在线访问,但相比于2015年的134000访问量已经很少了。

缓解措施

安全专家建议所有Memcache服务器的使用者如果不使用UDP端口则将他们关闭,并将这些服务器置于个人网络中并部署防火墙进行保护。另外你可以点此,查看Cloudflare提供的一些禁用Memcache UDP支持的简单步骤。

本文翻译自:https://www.bleepingcomputer.com/news/security/memcache-servers-can-be-abused-for-insanely-massive-ddos-attacks/如若转载,请注明原文地址: http://www.4hou.com/info/news/10507.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论