放大倍数超5万倍的Memcached DDoS反射攻击,怎么破?

背景:Memcached攻击创造DDoS攻击流量纪录

近日,利用Memcached服务器实施反射DDoS攻击的事件呈大幅上升趋势。DDoS攻击流量首次过T,引发业界热烈回应。现腾讯游戏云回溯整个事件如下:

追溯2 月 27 日消息,Cloudflare 和 Arbor Networks 公司于周二发出警告称,恶意攻击者正在滥用 Memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。下图为监测到Memcached攻击态势。

仅仅过了一天,就出现了1.35Tbps攻击流量刷新DDoS攻击历史纪录。

美国东部时间周三下午,GitHub透露其可能遭受了有史最强的DDoS攻击,专家称攻击者采用了放大攻击的新方法Memcached反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。对GitHub平台的第一次峰值流量攻击达到了1.35Tbps,随后又出现了另外一次400Gbps的峰值,这可能也将成为目前记录在案的最强DDoS攻击,此前这一数据为1.1Tbps。

据CNCERT3月3日消息,监测发现Memcached反射攻击在北京时间3月1日凌晨2点30分左右峰值流量高达1.94Tbps。

腾讯云捕获多起Memcached反射型DDoS攻击

截止3月6日,腾讯云已捕获到多起利用Memcached发起的反射型DDoS攻击。主要攻击目标包括游戏、门户网站等业务。

腾讯云数据监测显示,黑产针对腾讯云业务发起的Memcached反射型攻击从2月21日起进入活跃期,在3月1日达到活跃高峰,随后攻击次数明显减少,到3月5日再次出现攻击高峰。攻击态势如下图所示:

下图为腾讯云捕获到的Memcached反射型DDoS攻击的抓包样本:

腾讯云捕获到的Memcached反射源为22511Memcached反射源来源分布情况如下图所示:

在腾讯云宙斯盾安全系统防护下,腾讯云业务在Memcached反射型DDoS攻击中不受影响。

那么,什么是Memcached反射攻击?

一般而言,我们会根据针对的协议类型和攻击方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各类攻击类型。

DDoS攻击的历史可以追溯到上世纪90年代,反射型DDoS 攻击则是DDoS攻击中较巧妙的一种。攻击者并不直接攻击目标服务 IP,而是通过伪造被攻击者的 IP向开放某些某些特殊服务的服务器发请求报文,该服务器会将数倍于请求报文的回复数据发送到那个伪造的IP(即目标服务IP),从而实现隔山打牛,四两拨千金的效果。而Memcached反射型攻击因为其高达数万倍的放大倍数,更加受到攻击者的青睐。

Memcached反射攻击,就是发起攻击者伪造成受害者的IP对互联网上可以被利用的Memcached的服务发起大量请求,Memcached对请求回应。大量的回应报文汇聚到被伪造的IP地址源,形成反射型分布式拒绝服务攻击。

为何会造成如此大威胁?

据腾讯云宙斯盾安全团队成员介绍,以往我们面临的DDoS威胁,例如NTP和SSDP反射攻击的放大倍数一般都是30~50之间,而Memcached的放大倍数是万为单位,一般放大倍数接近5万倍,且并不能排除这个倍数被继续放大的可能性。利用这个特点,攻击者可以用非常少的带宽即可发起流量巨大的DDoS攻击。

安全建设需要未雨绸缪

早在Memcached反射型DDoS攻击手法试探鹅厂业务之时,腾讯云已感知到风险并提前做好部署,这轮黑客基于Memcached反射发起的DDoS攻击都被成功防护。

与此同时,腾讯云在捕获到Memcached攻击后,及时协助业务客户自查,提供监测和修复建议以确保用户的服务器不被用于发起DDoS攻击。

应对超大流量DDoS攻击的安全建议

DDoS攻击愈演愈烈,不断刷新攻击流量纪录,面临超越Tbps级的超大流量攻击,腾讯云宙斯盾安全产品团队建议用户做以下应对:

1.需要加强对反射型UDP攻击的重点关注,并提高风险感知能力

反射型UDP攻击占据DDoS攻击半壁江山。根据2017年腾讯云游戏行业DDoS攻击态势报告显示,反射型UDP攻击占了2017年全年DDoS攻击的55%,需要重点关注此种类型攻击。

此次Memcached反射型攻击作为一种较新型的反射型UDP攻击形式出现,带来巨大安全隐患,需要业界持续关注互联网安全动态,并提高风险感知能力,做好策略应对。在行业内出现威胁爆发时进行必要的演练。

2.应对超大流量攻击威胁,建议接入腾讯云超大容量高防产品

应对逐步升级的DDoS攻击风险。建议配置腾讯云超大容量高防产品,隐藏源站IP。用高防IP充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被DDoS攻击时才能保证业务可用性,从容处理。在面对高等级DDoS威胁时,及时升级防护配置,必要时请求DDoS防护厂商的专家服务。

了解腾讯云新一代高防产品:https://cloud.tencent.com/product/aegis

3.易受大流量攻击行业需加强防范

门户、金融、游戏等往年易受黑产死盯的行业需加强防范,政府等DDoS防护能力较弱的业务需提高大流量攻击的警惕。

风险往往曾经出现过苗头,一旦被黑产的春风点起,在毫无防护的情形之下,就会燃起燎原大火。

参考链接:

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

http://mp.weixin.qq.com/s/b0TXg_7Q9TweP4qu-8PKqw

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏数据和云

是什么让美国网站拒绝欧洲访问?- GDPR 带来的数据安全思考

当我们置身于网络世界之中,一切的行为都将会被记录下来,互联网企业还会通过『数据画像』让用户具象化、真实化,事实上,在数据面前,我们每个人都只是穿着皇帝的新衣。

982
来自专栏黑白安全

流氓黑客试图以 5000 万美元出售 iPhone 恶意软件

据外媒BGR报道,大约两年前,安全研究人员发现当时被称为世界上最先进的手机黑客软件。这个工具被称为Pegasus ,是一家名为NSO Group的以色列安全公司...

922
来自专栏云资讯小编的专栏

腾讯云鼎实验室Killer:面对“想哭”勒索软件,你不知道的几件事儿

比特币勒索软件究竟为什么会在全球大规模爆发?给我们敲响了什么警钟?国内信息安全专业媒体《嘶吼》对腾讯云鼎实验室负责人Killer(董志强)进行了专访,一起来听听...

7650
来自专栏人工智能快报

美学者提出无人机互联网概念

据VICE网站2016年5月8日报道称,商用航空诞生于第一次世界大战后期,而空中交通管制的需求亦随之出现。面对战后突然多出来的军用飞机,英国和法国开始将他们性能...

4198
来自专栏安恒信息

邮箱安全第11期 | 邮箱安全事件频发,安恒专业服务帮你忙!

电子邮件成网络安全重灾区,不管是鱼叉式邮件还是商业欺诈,都有着惊人的破坏力。前者是发动APT攻击和大范围传播恶意软件的典型入口,后者据FBI的统计,2013至2...

34813
来自专栏安恒信息

2014网络安全热点问题

1.威胁由网络层转向应用层 如今,许多行业用户将大量有价值的客户数据存储于在线数据库,通过网络应用与外界交互。不论是电子政务、通信、金融、电子商务抑或是小小的个...

3237
来自专栏程序员互动联盟

揭秘黑客如何挣钱?

黑客赚钱是个众所周知的事实,但是,这个行业有多赚钱?黑客们又是怎样进行内部交易以避免互相倾轧?就像与其业务类似的黑手党和地下帮派的精密体系,黑客们也创立了他们自...

38113
来自专栏安恒信息

信息安全通报第49期

2017年第49期安全通报 1数据看安全 国家信息安全漏洞共享平台本周共收集、整理信息安全漏洞440个,其中高危漏洞194个、中危漏洞202个、低危漏洞44个。...

3859

安全使用网上银行的重要建议

数以百万计的巴克莱银行客户现在通过易于使用的智能手机App和在线银行技术来管理他们的财务,使他们可以随时随地自由体验银行服务。

1095
来自专栏农夫安全

信息安全的压力到底大不大

0x00 前言 或许我们都看到过下面这张图: ? 我们也经常看到新闻中各式各样的报道体现着国家对网络安全的重视。 但是似乎我们并不明白为什么如此? 恰好农夫的官...

35611

扫码关注云+社区