前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >腾讯云安全团队支招:放大比超过5万倍的 Memcached DDoS 攻击如何防御

腾讯云安全团队支招:放大比超过5万倍的 Memcached DDoS 攻击如何防御

作者头像
腾讯云安全
发布2018-06-12 14:58:36
8770
发布2018-06-12 14:58:36
举报
文章被收录于专栏:腾讯云安全的专栏

近日,腾讯云安全大禹团队监测到利用 Memcached 服务作为放大器进行反射类 DDoS 攻击的行为,这种攻击的放大比可以达到惊人的5万倍。

这5万倍的放大效应是如何产生的?这类攻击跟其它反射类 DDoS 方式相比哪个危害更大?用户又应当如何防御?腾讯云安全大禹团队深度剖析了这类攻击的原理、危害以及应对策略。

一、5万倍从何而来

首先来看 Memcached 反射攻击的利用条件。

可被利用进行反射攻击的 Memcached 服务需满足三个条件:

1、对公网开放。

2、未禁用 UDP 协议支持。

3、未启用验证。

由于 Memcached 默认开启了 UDP 支持并且关闭了验证,所以可被利用的 Memcached 放大器数量众多,腾讯云安全团队发现全网可以利用的数量有100078个

Memcached 反射类 DDoS 攻击利用的是 Memcached 中的 set 和 get 两个指令。

第一个是上传 payload 的 set 命令, set 命令用于将 value 存储在指定的 key中。

如果 set 的 key 已经存在,该命令可以更新该 key 所对应的原来的数据,也就是实现更新的作用。

set 命令的基本语法格式如下:

set key flags exptime bytes [noreply]

value

参数说明如下:

•  key:键值 key-value 结构中的 key,用于查找缓存值。

•  flags:可以包括键值对的整型参数,客户机使用它存储关于键值对的额外信息。

•  exptime:在缓存中保存键值对的时间长度(以秒为单位,0 表示永远)

•  bytes:在缓存中存储的字节数

•  value:存储的值(始终位于第二行)(可直接理解为 key-value 结构中的value)

如图我们插入一个 key 为 qcloud 的 payload

第二个是获取payload的get命令。

get 命令获取存储在 key 中的 value ,如果 key 不存在,则返回空。

get 命令的基本语法格式如下:

get key

多个 key 使用空格隔开,如下:

get key1 key2 key3

参数说明如下:

key:键值  key-value 结构中的 key,用于查找缓存值。

如图获取 key 为 qcloud 的有效载荷。

到了这里也就清楚了流量放大是如何产生的。因为 value 部分可以自己插入超长的内容,所以导致响应内容远大于请求内容,达到流量放大效果,实际测试中,通过插入超长的 value,可以获得上万倍的放大效果。如下图所示,一个  payload 为27字节的请求包可以返回数百个 payload 为1400字节的响应。

二、Memcached 反射攻击相比其他反射方式哪个危害

反射类 DDoS 攻击方式靠的是发送大量带有被害者 IP 地址的数据包给攻击主机,然后攻击主机对 IP 地址源做出大量回应,形成拒绝服务攻击。

黑客往往会选择那些响应包远大于请求包的服务来利用,这样才可以以较小的流量换取更大的流量,获得几倍甚至几十倍的放大效果。腾讯云安全团队监测到的数据表明,主流的放大反射攻击的服务包括 DNS 服务、NTP 服务、SSDP 服务、Chargen 服务等。

反射攻击能产生的流量大小主要取决于放大比、反射源数量、反射源带宽、反射源稳定性。主流反射方式的反射比和可用反射源数量如下:

从上图可知,SSDP 虽然放大比只有31倍,但由于数量最多且稳定(多为 IOT 设备),可产生的攻击效果不可忽视。而 Memcached 放大比高达5万倍,对黑客来说无疑是最经济的攻击方式,同时考虑到大部分 Memcached 服务带宽较大,无论是对受影响的 Memcached 用户还是对被攻击者而言,都会造成很大的危害。

三、如何应对

1

针对 Memcached 用户

a、腾讯云云缓存 Memcached 产品采用自研架构,未使用 UDP 协议,默认不受该问题影响,您可以放心使用。

b、腾讯云上自己部署 Memcached 服务的用户也可以使用安全组来禁用 UDP 11211端口来获得免疫,同时不需要重启服务和中断业务。

2

针对遭受攻击的用户

对于遭受到攻击的用户可以使用腾讯云大禹 BGP 高防。大禹 BGP 高防是腾讯云针对游戏、金融、网站等用户遭受大流量 DDoS 攻击时服务不可用的情况推出的增值服务。高达 300G 的防护服务和多达 28 线的BGP 线路,让用户业务不再畏惧 DDoS 攻击的挑战,同时拥有极速的访问体验。

大禹 BGP 高防同时也有应对反射类 DDoS 攻击的杀手锏-UDP 封堵,如果用户用不到 UDP 协议,可以在骨干网络对 UDP 流量进行封堵,提前消灭反射类 DDoS 攻击,并且帮助用户降低防护成本。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-03-03,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 腾讯云安全 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档