写点什么

放大倍数超 5 万倍的 Memcached DDoS 反射攻击,怎么破?

  • 2019-10-25
  • 本文字数:2038 字

    阅读完需:约 7 分钟

放大倍数超5万倍的 Memcached DDoS 反射攻击,怎么破?

背景 Memcached 攻击创造 DDoS 攻击流量纪录


近日,利用 Memcached 服务器实施反射 DDoS 攻击的事件呈大幅上升趋势。DDoS 攻击流量首次过 T,引发业界热烈回应。现腾讯游戏云回溯整个事件如下:


追溯 2 月 27 日消息,Cloudflare 和 Arbor Networks 公司于周二发出警告称,恶意攻击者正在滥用 Memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。


下图为监测到 Memcached 攻击态势



仅仅过了一天,就出现了 1.35Tbps 攻击流量刷新 DDoS 攻击历史纪录。


美国东部时间周三下午,GitHub 透露其可能遭受了有史最强的 DDoS 攻击,专家称攻击者采用了放大攻击的新方法 Memcached 反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。对 GitHub 平台的第一次峰值流量攻击达到了 1.35Tbps,随后又出现了另外一次 400Gbps 的峰值,这可能也将成为目前记录在案的最强 DDoS 攻击,此前这一数据为 1.1Tbps。


据 CNCERT3 月 3 日消息,监测发现 Memcached 反射攻击在北京时间 3 月 1 日凌晨 2 点 30 分左右峰值流量高达 1.94Tbps。

腾讯云捕获多起 Memcached 反射型 DDoS 攻击

截止 3 月 6 日,腾讯云已捕获到多起利用 Memcached 发起的反射型 DDoS 攻击。主要攻击目标包括游戏、门户网站等业务。


腾讯云数据监测显示,黑产针对腾讯云业务发起的 Memcached 反射型攻击从 2 月 21 日起进入活跃期,在 3 月 1 日达到活跃高峰,随后攻击次数明显减少,到 3 月 5 日再次出现攻击高峰。攻击态势如下图所示:



下图为腾讯云捕获到的 Memcached 反射型 DDoS 攻击的抓包样本:



腾讯云捕获到的 Memcached 反射源为 22511 个。Memcached 反射源来源分布情况如下图所示:



在腾讯云宙斯盾安全系统防护下,腾讯云业务在 Memcached 反射型 DDoS 攻击中不受影响。

那么,什么是 Memcached 反射攻击?

一般而言,我们会根据针对的协议类型和攻击方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各类攻击类型。


DDoS 攻击的历史可以追溯到上世纪 90 年代,反射型 DDoS 攻击则是 DDoS 攻击中较巧妙的一种。攻击者并不直接攻击目标服务 IP,而是通过伪造被攻击者的 IP 向开放某些某些特殊服务的服务器发请求报文,该服务器会将数倍于请求报文的回复数据发送到那个伪造的 IP(即目标服务 IP),从而实现隔山打牛,四两拨千金的效果。而 Memcached 反射型攻击因为其高达数万倍的放大倍数,更加受到攻击者的青睐。


Memcached 反射攻击,就是发起攻击者伪造成受害者的 IP 对互联网上可以被利用的 Memcached 的服务发起大量请求,Memcached 对请求回应。大量的回应报文汇聚到被伪造的 IP 地址源,形成反射型分布式拒绝服务攻击。


为何会造成如此大威胁?

据腾讯云宙斯盾安全团队成员介绍,以往我们面临的 DDoS 威胁,例如 NTP 和 SSDP 反射攻击的放大倍数一般都是 30~50 之间,而 Memcached 的放大倍数是万为单位,一般放大倍数接近 5 万倍,且并不能排除这个倍数被继续放大的可能性。利用这个特点,攻击者可以用非常少的带宽即可发起流量巨大的 DDoS 攻击。

安全建设需要未雨绸缪

早在 Memcached 反射型 DDoS 攻击手法试探鹅厂业务之时,腾讯云已感知到风险并提前做好部署,这轮黑客基于 Memcached 反射发起的 DDoS 攻击都被成功防护。


与此同时,腾讯云在捕获到 Memcached 攻击后,及时协助业务客户自查,提供监测和修复建议以确保用户的服务器不被用于发起 DDoS 攻击。

应对超大流量 DDoS 攻击的安全建议

DDoS 攻击愈演愈烈,不断刷新攻击流量纪录,面临超越 Tbps 级的超大流量攻击,腾讯云宙斯盾安全产品团队建议用户做以下应对:

1.需要加强对反射型 UDP 攻击的重点关注,并提高风险感知能力

反射型 UDP 攻击占据 DDoS 攻击半壁江山。根据 2017 年腾讯云游戏行业 DDoS 攻击态势报告显示,反射型 UDP 攻击占了 2017 年全年 DDoS 攻击的 55%,需要重点关注此种类型攻击。



此次 Memcached 反射型攻击作为一种较新型的反射型 UDP 攻击形式出现,带来巨大安全隐患,需要业界持续关注互联网安全动态,并提高风险感知能力,做好策略应对。在行业内出现威胁爆发时进行必要的演练。

2.应对超大流量攻击威胁,建议接入腾讯云宙斯盾安全产品

应对逐步升级的 DDoS 攻击风险。建议配置宙斯盾高防 IP 产品,隐藏源站 IP。用高防 IP 充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被 DDoS 攻击时才能保证业务可用性,从容处理。在面对高等级 DDoS 威胁时,及时升级防护配置,必要时请求 DDoS 防护厂商的专家服务。

3.易受大流量攻击行业需加强防范

门户、金融、游戏等往年易受黑产死盯的行业需加强防范,政府等 DDoS 防护能力较弱的业务需提高大流量攻击的警惕。


风险往往曾经出现过苗头,一旦被黑产的春风点起,在毫无防护的情形之下,就会燃起燎原大火。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/VuioGvgIRU4LkrIZuW5uQg


2019-10-25 09:591942

评论

发布
暂无评论
发现更多内容

主机安全是什么意思?安全体检包含哪些方面?

行云管家

运维 服务器 主机 主机安全 安全体检

论亚马逊QLDB与腾讯TDSQL架构与功能

腾讯云数据库

数据库 tdsql

Percolator模型及其在TiKV中的实现

vivo互联网技术

数据库 Percolator 分布式,

ECMAScript 2021(ES12)新特性简介

程序那些事

JavaScript ecmascript 程序那些事 ES12

阿里巴巴发布“限量版”Java零基础宝典,万字Java技术类校招面试题汇总

Java 程序员 后端

与springcloud整合的框架源码读取入口

Java 编程 架构 微服务

腾讯云分布式数据库TDSQL再获认可

腾讯云数据库

数据库 tdsql

FunTester框架Redis性能测试之list操作

FunTester

redis 性能测试 测试框架 压力测试 FunTester

为什么不推荐Python初学者直接看项目源码

Felix

Python 编程 开发 Programing 阅读代码

一部好看过武侠小说的热血互联网史!

博文视点Broadview

干货帖 | TDSQL-A核心架构揭秘

腾讯云数据库

数据库 tdsql

为什么说腾讯云TDSQL是金融行业的“杀手锏”级应用?

腾讯云数据库

数据库 tdsql

37 手游基于 Flink CDC + Hudi 湖仓一体方案实践

Apache Flink

大数据 flink

汽车智能座舱中 显示屏市场战略趋势分析 上篇

SOA开发者

软件定义汽车

阿里,快手,拼多多等7家大厂Java面试真题,Java开发面经分享

Java 程序员 后端

阿里,快手,拼多多等7家大厂Java面试真题,Java面试题高级

Java 程序员 后端

Linux用户密码管理

在即

9月日更

mydumper备份工具介绍与使用

Simon

MySQL

TDSQL-C 数据库架构

腾讯云数据库

数据库 tdsql

阿里巴巴发布“限量版”Java零基础宝典,38岁的中年失业者怎么活下去

Java 程序员 后端

Shell:Lite OS在线调试工具知多少

华为云开发者联盟

Shell 操作系统 Lite OS 在线调试 命令函数

开便利店可以实现财富自由吗?

石头IT视角

阿里,快手,拼多多等7家大厂Java面试真题,Java笔试题及答案详解

Java 程序员 后端

CSS 轻松制作 SVG 动画

devpoint

css3 SVG 9月日更

测试开发之前端篇-CSS层叠式样式表

禅道项目管理

CSS html

堡垒机作用之事后审计详细讲解-行云管家

行云管家

运维 网络安全 运维审计 事后审计

深入解读TDSQL-C的内核关键技术

腾讯云数据库

数据库 tdsql

揭秘TDSQL-A分布式执行框架:解放OLAP关联分析查询性能瓶颈

腾讯云数据库

数据库 tdsql

乘着汽车智能化的浪潮,“汽车人”的职业方向选择(三)

SOA开发者

软件定义汽车 车载控制单元

阿里巴巴Java方向面试题汇总(含答案),为什么数据库会丢失数据

Java 程序员 后端

对Python爬虫编写者充满诱惑的网站,《可爱图片网》,瞧人这网站名字起的

梦想橡皮擦

9月日更

放大倍数超5万倍的 Memcached DDoS 反射攻击,怎么破?_文化 & 方法_云加社区_InfoQ精选文章