写点什么

放大倍数超 5 万倍的 Memcached DDoS 反射攻击,怎么破?

  • 2019-10-25
  • 本文字数:2038 字

    阅读完需:约 7 分钟

放大倍数超5万倍的 Memcached DDoS 反射攻击,怎么破?

背景 Memcached 攻击创造 DDoS 攻击流量纪录


近日,利用 Memcached 服务器实施反射 DDoS 攻击的事件呈大幅上升趋势。DDoS 攻击流量首次过 T,引发业界热烈回应。现腾讯游戏云回溯整个事件如下:


追溯 2 月 27 日消息,Cloudflare 和 Arbor Networks 公司于周二发出警告称,恶意攻击者正在滥用 Memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。


下图为监测到 Memcached 攻击态势



仅仅过了一天,就出现了 1.35Tbps 攻击流量刷新 DDoS 攻击历史纪录。


美国东部时间周三下午,GitHub 透露其可能遭受了有史最强的 DDoS 攻击,专家称攻击者采用了放大攻击的新方法 Memcached 反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。对 GitHub 平台的第一次峰值流量攻击达到了 1.35Tbps,随后又出现了另外一次 400Gbps 的峰值,这可能也将成为目前记录在案的最强 DDoS 攻击,此前这一数据为 1.1Tbps。


据 CNCERT3 月 3 日消息,监测发现 Memcached 反射攻击在北京时间 3 月 1 日凌晨 2 点 30 分左右峰值流量高达 1.94Tbps。

腾讯云捕获多起 Memcached 反射型 DDoS 攻击

截止 3 月 6 日,腾讯云已捕获到多起利用 Memcached 发起的反射型 DDoS 攻击。主要攻击目标包括游戏、门户网站等业务。


腾讯云数据监测显示,黑产针对腾讯云业务发起的 Memcached 反射型攻击从 2 月 21 日起进入活跃期,在 3 月 1 日达到活跃高峰,随后攻击次数明显减少,到 3 月 5 日再次出现攻击高峰。攻击态势如下图所示:



下图为腾讯云捕获到的 Memcached 反射型 DDoS 攻击的抓包样本:



腾讯云捕获到的 Memcached 反射源为 22511 个。Memcached 反射源来源分布情况如下图所示:



在腾讯云宙斯盾安全系统防护下,腾讯云业务在 Memcached 反射型 DDoS 攻击中不受影响。

那么,什么是 Memcached 反射攻击?

一般而言,我们会根据针对的协议类型和攻击方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各类攻击类型。


DDoS 攻击的历史可以追溯到上世纪 90 年代,反射型 DDoS 攻击则是 DDoS 攻击中较巧妙的一种。攻击者并不直接攻击目标服务 IP,而是通过伪造被攻击者的 IP 向开放某些某些特殊服务的服务器发请求报文,该服务器会将数倍于请求报文的回复数据发送到那个伪造的 IP(即目标服务 IP),从而实现隔山打牛,四两拨千金的效果。而 Memcached 反射型攻击因为其高达数万倍的放大倍数,更加受到攻击者的青睐。


Memcached 反射攻击,就是发起攻击者伪造成受害者的 IP 对互联网上可以被利用的 Memcached 的服务发起大量请求,Memcached 对请求回应。大量的回应报文汇聚到被伪造的 IP 地址源,形成反射型分布式拒绝服务攻击。


为何会造成如此大威胁?

据腾讯云宙斯盾安全团队成员介绍,以往我们面临的 DDoS 威胁,例如 NTP 和 SSDP 反射攻击的放大倍数一般都是 30~50 之间,而 Memcached 的放大倍数是万为单位,一般放大倍数接近 5 万倍,且并不能排除这个倍数被继续放大的可能性。利用这个特点,攻击者可以用非常少的带宽即可发起流量巨大的 DDoS 攻击。

安全建设需要未雨绸缪

早在 Memcached 反射型 DDoS 攻击手法试探鹅厂业务之时,腾讯云已感知到风险并提前做好部署,这轮黑客基于 Memcached 反射发起的 DDoS 攻击都被成功防护。


与此同时,腾讯云在捕获到 Memcached 攻击后,及时协助业务客户自查,提供监测和修复建议以确保用户的服务器不被用于发起 DDoS 攻击。

应对超大流量 DDoS 攻击的安全建议

DDoS 攻击愈演愈烈,不断刷新攻击流量纪录,面临超越 Tbps 级的超大流量攻击,腾讯云宙斯盾安全产品团队建议用户做以下应对:

1.需要加强对反射型 UDP 攻击的重点关注,并提高风险感知能力

反射型 UDP 攻击占据 DDoS 攻击半壁江山。根据 2017 年腾讯云游戏行业 DDoS 攻击态势报告显示,反射型 UDP 攻击占了 2017 年全年 DDoS 攻击的 55%,需要重点关注此种类型攻击。



此次 Memcached 反射型攻击作为一种较新型的反射型 UDP 攻击形式出现,带来巨大安全隐患,需要业界持续关注互联网安全动态,并提高风险感知能力,做好策略应对。在行业内出现威胁爆发时进行必要的演练。

2.应对超大流量攻击威胁,建议接入腾讯云宙斯盾安全产品

应对逐步升级的 DDoS 攻击风险。建议配置宙斯盾高防 IP 产品,隐藏源站 IP。用高防 IP 充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被 DDoS 攻击时才能保证业务可用性,从容处理。在面对高等级 DDoS 威胁时,及时升级防护配置,必要时请求 DDoS 防护厂商的专家服务。

3.易受大流量攻击行业需加强防范

门户、金融、游戏等往年易受黑产死盯的行业需加强防范,政府等 DDoS 防护能力较弱的业务需提高大流量攻击的警惕。


风险往往曾经出现过苗头,一旦被黑产的春风点起,在毫无防护的情形之下,就会燃起燎原大火。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/VuioGvgIRU4LkrIZuW5uQg


2019-10-25 09:591899

评论

发布
暂无评论
发现更多内容

全板电镀与图形电镀,到底有什么区别?

华秋电子

PCB PCB生产

JVM说--直接内存的使用

京东科技开发者

JVM io nio 虚拟机 企业号 2 月 PK 榜

带你动手做AI版的垃圾分类

华为云开发者联盟

人工智能 华为云 企业号 2 月 PK 榜 华为云开发者联盟 垃圾分类

产研指南针的量化指标实践笔记

车江毅

项目管理 研发管理 降本增效 北极星指标 效能度量

舞台LED显示屏对灯光设计产生了哪些影响

Dylan

LED显示屏 全彩LED显示屏 led显示屏厂家

职场IT老手教你3步教你玩转可视化大屏设计,让领导眼前一亮!

葡萄城技术团队

MASA Stack 1.0 发布会讲稿——实践篇

MASA技术团队

.net MASA MAUI MASA Stack

剖析字节案例,火山引擎A/B测试DataTester如何“嵌入”技术研发流程

字节跳动数据平台

大数据 AB testing实战 企业号 2 月 PK 榜

Java程序员:为了跳槽刷完1000道真题,想不到老板直接给我升职了

程序知音

Java java面试 Java面试题 Java面试八股文 后端面试

天翼云第八代云主机助力企业攻克上云“大象流”加密处理业务难题

天翼云开发者社区

选择等保测评机构需要注意的几个点-行云管家

行云管家

等保 等级保护 等保测评

DAAM:首次利用视觉语言学解释大型扩散模型

Zilliz

ITSM | 限时优惠,帮助您的团队终结不良服务管理!

龙智—DevSecOps解决方案

Jira ITSM IT服务管理

云端智创 | 基于视频AI原理的音视频智能处理技术

阿里云CloudImagine

云计算 音视频

Fastjson踩“坑”记录和“深度”学习

阿里技术

Fastjson

如何在 Web 端实现一个多人数独游戏

声网

Vue 互动白板 RTE

一文详解数GaussDB(DWS)函数出参带出方式

华为云开发者联盟

数据库 后端 华为云 企业号 2 月 PK 榜 华为云开发者联盟

代码质量与安全 | 开发人员必备的安全编码实践指南

龙智—DevSecOps解决方案

代码安全 静态代码扫描

龙智宣布与Incredibuild建立战略合作伙伴关系

龙智—DevSecOps解决方案

DevSecOps 加速编译

领导者!天翼云蝉联政务公有云基础设施市场第一

天翼云开发者社区

模块1作业

王琨琨

架构实战营

快速入门API Explorer

华为云开发者联盟

云计算 华为云 API Explorer平台 企业号 2 月 PK 榜 华为云开发者联盟

放大倍数超5万倍的 Memcached DDoS 反射攻击,怎么破?_文化 & 方法_云加社区_InfoQ精选文章