近日,一场流量规模史无前例的DDoS攻击爆发,如山洪决堤般迅速击溃全球多个云服务器,让众人对其杀伤力胆寒不已。360信息安全部0kee Team在本周监测到利用Memcache的超大规模DDoS攻击事件后,面向全球率先预警,本次攻击最高流量接近1.4T,未来趋势或将愈加严峻。
洪水猛兽——近1.4T的巨大流量攻击!
许多业内人士不禁想起此前360安全团队的“预言”:DDoS攻击开始从 G时代进入 T时代,基于Memcache服务器放大倍数高、数量多的特点,一旦被用作DDoS攻击,某些小型攻击团队也可能因此获得原先没有的大流量攻击能力。
据悉,早在2017年6月左右,360信息安全部0kee Team首先发现Memcache DRDoS,并在 PoC 2017会议上做了公开报告,详细介绍了其攻击原理和潜在危害,也就是预言Memcache DRDoS未来将越来越多的被利用,出现超高流量的攻击事件。而此次攻击事件,到目前为止,已知的最高流量已经近1.4T,如同洪水猛兽,正在吞噬着无数服务器。
极尽夸张——5.12万倍的超高放大系数!
此次核弹级的DDoS攻击,正是网络犯罪分子利用Memcache作为DRDoS放大器进行放大的攻击事件。根据360安全团队介绍,攻击者首先向Memcache服务器发送小字节请求,并要求Memcache服务器将作出回应的数据包直接发给指定IP(即受害者)。
目前,该类型的DDoS攻击放大倍数可达到5.12万倍,且Memcache服务器数量较多,在2017年11月时,估算全球约有六万台服务器可以被利用,并且这些服务器往往拥有较高的带宽资源。
Memcache服务器接收到请求后,由于 UDP协议并未正确执行,产生了数万倍大小的回应,并将这一巨大的回应数据包发送给了受害者,导致受害者电脑受到高流量攻击迅速瘫痪。
如果说一般的DDoS攻击是商铺中挤满了熊孩子,令其无法正常营业,那么Memcache DRDoS则是由攻击者释放了成千上万个熊孩子去了Memcache服务器,经过Memcache服务器的加工,熊孩子进化成了破坏力极大的绿巨人进入商铺,导致商铺运行迅速崩溃。
恐慌蔓延——DDoS攻击事件正呈爆发式增长!
拥有上百万的开发者用户,被坊间称为程序员的“另类”社交网络、全球最大黑客聚集地的Github,也未能逃脱Memcache DRDoS的魔掌。3月1日凌晨,GitHub遭遇了有史以来最严重的DDoS网络攻击,峰值流量达到了前所未有的1.35Tbps,Memcache DRDoS向这个拥有众多大牛的知名代码托管网站狠狠秀了一次伤害。
根据360安全团队本周监测情况显示,本次利用Memcache放大的DDoS攻击事件呈现爆发式增长趋势,攻击频率从每天不足50件增加到每天300至400件,可能有更大的攻击案例并未被公开报道,未来或将出现更多DDoS攻击情况。
面对“核弹级”攻击应该做些什么?
目前,该类型的DDoS攻击放大倍数可达到5.12万倍,且已知的最高流量近1.4T,流量规模还在不断扩大。360安全团队分析指出,由于Memcache服务器的总数量是有限的,因此这场威胁力极大的攻击事件还是有可控方法的。
首先,建议Memcache的用户将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组;为预防机器器扫描和ssrf等攻击,修改Memcache默认监听端口;升级到最新版本的Memcache,并且使用SASL设置密码来进行权限控制。
对于网络层防御,目前已有包括NTT在内的多个国外ISP已经对UDP11211进行限速;同时,安全专家表示,互联网服务提供商应当禁止在网络上执行IP欺骗;此外,安全专家也建议ISP应允许用户使用 BGP flowspec限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。
对于如此爆发式增长的“核弹级”DDoS攻击,未来发展趋势尚不明朗, 360安全团队将持续监控本次攻击事件,并及时做出响应措施。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
