腾讯云安全团队支招:放大比超过5万倍的 Memcached DDoS 攻击如何防御

近日,腾讯云安全大禹团队监测到利用 Memcached 服务作为放大器进行反射类 DDoS 攻击的行为,这种攻击的放大比可以达到惊人的5万倍。

这5万倍的放大效应是如何产生的?这类攻击跟其它反射类 DDoS 方式相比哪个危害更大?用户又应当如何防御?腾讯云安全大禹团队深度剖析了这类攻击的原理、危害以及应对策略。

一、5万倍从何而来

首先来看 Memcached 反射攻击的利用条件。

可被利用进行反射攻击的 Memcached 服务需满足三个条件:

1、对公网开放。

2、未禁用 UDP 协议支持。

3、未启用验证。

由于 Memcached 默认开启了 UDP 支持并且关闭了验证,所以可被利用的 Memcached 放大器数量众多,腾讯云安全团队发现全网可以利用的数量有100078个

Memcached 反射类 DDoS 攻击利用的是 Memcached 中的 set 和 get 两个指令。

第一个是上传 payload 的 set 命令, set 命令用于将 value 存储在指定的 key中。

如果 set 的 key 已经存在,该命令可以更新该 key 所对应的原来的数据,也就是实现更新的作用。

set 命令的基本语法格式如下:

set key flags exptime bytes [noreply]

value

参数说明如下:

•  key:键值 key-value 结构中的 key,用于查找缓存值。

•  flags:可以包括键值对的整型参数,客户机使用它存储关于键值对的额外信息。

•  exptime:在缓存中保存键值对的时间长度(以秒为单位,0 表示永远)

•  bytes:在缓存中存储的字节数

•  value:存储的值(始终位于第二行)(可直接理解为 key-value 结构中的value)

如图我们插入一个 key 为 qcloud 的 payload

第二个是获取payload的get命令。

get 命令获取存储在 key 中的 value ,如果 key 不存在,则返回空。

get 命令的基本语法格式如下:

get key

多个 key 使用空格隔开,如下:

get key1 key2 key3

参数说明如下:

key:键值  key-value 结构中的 key,用于查找缓存值。

如图获取 key 为 qcloud 的有效载荷。

到了这里也就清楚了流量放大是如何产生的。因为 value 部分可以自己插入超长的内容,所以导致响应内容远大于请求内容,达到流量放大效果,实际测试中,通过插入超长的 value,可以获得上万倍的放大效果。如下图所示,一个  payload 为27字节的请求包可以返回数百个 payload 为1400字节的响应。

二、Memcached 反射攻击相比其他反射方式哪个危害

反射类 DDoS 攻击方式靠的是发送大量带有被害者 IP 地址的数据包给攻击主机,然后攻击主机对 IP 地址源做出大量回应,形成拒绝服务攻击。

黑客往往会选择那些响应包远大于请求包的服务来利用,这样才可以以较小的流量换取更大的流量,获得几倍甚至几十倍的放大效果。腾讯云安全团队监测到的数据表明,主流的放大反射攻击的服务包括 DNS 服务、NTP 服务、SSDP 服务、Chargen 服务等。

反射攻击能产生的流量大小主要取决于放大比、反射源数量、反射源带宽、反射源稳定性。主流反射方式的反射比和可用反射源数量如下:

从上图可知,SSDP 虽然放大比只有31倍,但由于数量最多且稳定(多为 IOT 设备),可产生的攻击效果不可忽视。而 Memcached 放大比高达5万倍,对黑客来说无疑是最经济的攻击方式,同时考虑到大部分 Memcached 服务带宽较大,无论是对受影响的 Memcached 用户还是对被攻击者而言,都会造成很大的危害。

三、如何应对

1

针对 Memcached 用户

a、腾讯云云缓存 Memcached 产品采用自研架构,未使用 UDP 协议,默认不受该问题影响,您可以放心使用。

b、腾讯云上自己部署 Memcached 服务的用户也可以使用安全组来禁用 UDP 11211端口来获得免疫,同时不需要重启服务和中断业务。

2

针对遭受攻击的用户

对于遭受到攻击的用户可以使用腾讯云大禹 BGP 高防。大禹 BGP 高防是腾讯云针对游戏、金融、网站等用户遭受大流量 DDoS 攻击时服务不可用的情况推出的增值服务。高达 300G 的防护服务和多达 28 线的BGP 线路,让用户业务不再畏惧 DDoS 攻击的挑战,同时拥有极速的访问体验。

大禹 BGP 高防同时也有应对反射类 DDoS 攻击的杀手锏-UDP 封堵,如果用户用不到 UDP 协议,可以在骨干网络对 UDP 流量进行封堵,提前消灭反射类 DDoS 攻击,并且帮助用户降低防护成本。

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2018-03-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏睿哥杂货铺

SDN 技术指南(二):OpenFlow

OpenFlow 最早由斯坦福大学提出,目前知识产权由开放网络基金会(Open Networking Foundation,ONF)持有。

2499
来自专栏FreeBuf

FireEye报告:揭露新型工控系统恶意软件TRITON

Mandiant最近针对中东某企业关键基础设施遭受的攻击事件进行了安全响应,攻击者通过部署特制的恶意软件来控制目标工业安全系统,由于工业安全系统具备对工控系统的...

1965
来自专栏FreeBuf

一个有20年历史的SMB漏洞:一台树莓派就能DoS大型服务器,微软表示不会修复该漏洞

绝大部分 DoS 攻击,一般来说都是目标系统收到大量服务请求,最终导致拒绝服务状态。实际上,随着技术的发展,如果要让现在的系统“拒绝服务”,是需要海量请求配合的...

3444
来自专栏FreeBuf

Linux中的Stack Clash漏洞,可被黑客利用获取本地root权限

上个月,Qualys的安全研究人员在多种基于Unix的系统上发现名为“Stack Clash”的漏洞,该漏洞能让攻击者在UNIX系统上获得root权限,并接管这...

2666
来自专栏黑白安全

四月补丁增强了 AMD CPU 抵御幽灵漏洞的能力

四月的第二个星期二,微软通过自家 Windows Update 更新通道,为 AMD CPU 带来了增强的 Spectre(幽灵)漏洞防御能力。这一轮的系统级修...

683
来自专栏牛客网

美团JAVA开发4面面经

【每日一语】不要回头。那个时候,是自己下定了决心,自己选择了道路了吧。那就不要道歉,不要哭,不要彷徨,只注视着前方前进就好。——《银魂》

772
来自专栏牛客网

【360烤面筋】

【每日一语】生存在我们每个人体内的,一到时候,它就会抖掉身上的尘土,慢慢地萌芽开来。——《穿条纹睡衣的男孩》

462
来自专栏IT大咖说

去哪儿网快速App开发及问题解决平台实践

摘要 本次分享主要介绍去哪儿的客户端团队在大规模多团队多APP的情景下,如何快速简单可靠地维护自己的产品。 通过实际场景重现,介绍用户行为跟踪和网络数据交互的监...

3338
来自专栏菩提树下的杨过

企业应用通用架构图

晚上把公司应用的架构结合之前研究的东西梳理了下,整理了一张架构规划图,贴在这里备份 ? 下面是个人理解的做架构的几个要点: 1、系统安全 这是首要考虑的,以这张...

1816
来自专栏FreeBuf

HTTP2.0协议被曝4个高危漏洞,可致服务器崩溃

如果你认为HTTP2.0协议比标准HTTP(超文本传输协议)更安全,那你就错了。有研究人员花费4个月的时间在HTTP2.0协议中发现4个漏洞! 去年2月,谷歌把...

1898

扫码关注云+社区