從一枚子彈變成一顆核彈，從一滴水變成汪洋大海，這種情況是否只存在于大家的想象之中?本周，360信息安全部0kee Team監(jiān)測到一種利用Memcache的超大規(guī)模DDoS攻擊事件，攻擊者只需向Memcache服務(wù)器發(fā)送小字節(jié)請求，就可誘騙服務(wù)器將數(shù)萬倍的響應(yīng)數(shù)據(jù)包發(fā)送給被攻擊者，形成DDoS攻擊。

　　360安全團(tuán)隊(duì)率先發(fā)出面向全球的重要預(yù)警，目前全球已有多個(gè)云服務(wù)器遭到攻擊，已知的最高流量接近1.4T，進(jìn)入集中爆發(fā)期，未來還可能持續(xù)出現(xiàn)更多該類型的DDoS攻擊事件。

　　反射式DDoS攻擊：“熊孩子”秒變“綠巨人”

　　據(jù)悉，這種利用Memcache服務(wù)器的反射型DDoS攻擊，早在2017年6月前后由360 0kee Team首先發(fā)現(xiàn)，并于同年11月 PoC 2017 會議報(bào)告上，詳細(xì)介紹了其攻擊原理和潛在危害。

　　所謂DDoS攻擊是通過大量合法的請求占用大量網(wǎng)絡(luò)資源，最終致使網(wǎng)絡(luò)癱瘓。就好比在一個(gè)正常營業(yè)的商鋪，突然有一群“熊孩子”蜂擁而至，把整個(gè)店面占滿，想買東西的顧客擠進(jìn)不來，里面的商品也賣不出去，這時(shí)，商鋪就是受到了來自“熊孩子”的DDoS攻擊。

　　而Memcache作為分布式高速緩存系統(tǒng)，可幫助大型或者需要頻繁訪問數(shù)據(jù)庫的網(wǎng)站來提升訪問速度。此次核彈級的DDoS攻擊，正是網(wǎng)絡(luò)犯罪分子利用Memcache作為DRDoS放大器進(jìn)行放大的攻擊事件。

　　360安全團(tuán)隊(duì)介紹，近日發(fā)現(xiàn)的攻擊事件中，攻擊者首先向Memcache服務(wù)器發(fā)送小字節(jié)請求，并要求Memcache服務(wù)器將作出回應(yīng)的數(shù)據(jù)包發(fā)給指定IP(即受害者);Memcache服務(wù)器接收到請求后，由于 UDP協(xié)議并未正確執(zhí)行，產(chǎn)生了數(shù)萬倍大小的回應(yīng)，并將這一巨大的回應(yīng)數(shù)據(jù)包發(fā)送給受害者;此時(shí)受害者就遭遇了“人在家中坐，禍從天上來”的局面。也就是說攻擊者能誘騙 Memcache服務(wù)器將過大規(guī)模的響應(yīng)包發(fā)送給受害者。

　　這樣看來，本次攻擊事件還不完全是單純的“熊孩子”式的攻擊，而像是攻擊者釋放出了成千上萬的“熊孩子”，并讓他們先去了 Memcache服務(wù)器。在這里，他們突然被放大無數(shù)倍，變成了成千上萬個(gè)“綠巨人”，然后再浩浩蕩蕩奔向商鋪(受害者)。這時(shí)，受攻擊的商鋪別說正常營業(yè)了，儼然已經(jīng)崩潰、癱瘓。

　　這種間接 DDoS 攻擊就是“反射式DDoS攻擊”，而其中服務(wù)器響應(yīng)數(shù)據(jù)包被放大的次數(shù)則被稱為DDoS攻擊的“放大系數(shù)”。360安全團(tuán)隊(duì)指出，這次攻擊具有放大倍數(shù)高、影響服務(wù)器范圍廣兩大特點(diǎn)。

　　放大系數(shù)超5萬倍 堪稱“核彈級攻擊”

　　目前，該類型的DDoS攻擊放大倍數(shù)可達(dá)到5.12萬倍，且Memcache服務(wù)器數(shù)量較多，在2017年11月時(shí)，估算全球約有六萬臺服務(wù)器可以被利用，并且這些服務(wù)器往往擁有較高的帶寬資源。

　　最近一周以來，利用Memcache放大的DDoS攻擊事件爆發(fā)式增長，攻擊頻率從每天不足50件增加到每天300至400件，360安全團(tuán)隊(duì)表示，可能有更大的攻擊案例并未被公開報(bào)道。

　　針對本次史上罕見的DDoS攻擊事件，360安全團(tuán)隊(duì)在發(fā)布預(yù)警的同時(shí)，對Memcache使用者給出了以下三點(diǎn)建議：

　　1.Memcache的用戶建議將服務(wù)放置于可信域內(nèi)，有外網(wǎng)時(shí)不要監(jiān)聽 0.0.0.0，有特殊需求可以設(shè)置acl或者添加安全組。

　　2.為預(yù)防機(jī)器?掃描和ssrf等攻擊，修改memcache默認(rèn)監(jiān)聽端口。

　　3.升級到最新版本的memcache，并且使用SASL設(shè)置密碼來進(jìn)行權(quán)限控制。

　　此外，360安全團(tuán)隊(duì)還發(fā)布了本次DDoS攻擊的詳細(xì)技術(shù)報(bào)告，并表示接下來的一段時(shí)間內(nèi)，或?qū)⒈l(fā)更多利用Memcached進(jìn)行DRDoS的事件，如果本次攻擊效果被其他DDoS團(tuán)隊(duì)所效仿，將帶來難以預(yù)計(jì)的嚴(yán)重后果，對此，360安全團(tuán)隊(duì)將持續(xù)監(jiān)控本次攻擊事件，并及時(shí)做出響應(yīng)措施。

　　Memcache UDP反射放大攻擊技術(shù)分析：

　　https://blog.netlab.360.com/what-we-know-about-memcache-udp-reflection-ddos/

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時(shí)聯(lián)系我們，本站將會在24小時(shí)內(nèi)處理完畢。