Memcache UDP反射放大攻击技术分析

本文原作者Ken.

Memcache UDP 反射放大攻击(以下简称 Memcache DRDoS)在最近的一周里吸引了安全社区的较多注意。以下介绍我们对该类型攻击观察到的情况。

在PoC 2017 会议上的原始报告

Memcache DRDoS,由360信息安全部0kee Team在2017-06 附近首先发现,并于 2017-11 在 PoC 2017 会议上做了公开报告。会议报告在 这里,其中详细介绍了攻击的原理和潜在危害。

在这份文档中,作者指出这种攻击的特点:

  • memcache 放大倍数超高,至少可以超过50k;
  • memcache 服务器(案例中的反射点)数量较多,2017-11时估算全球约有 60k 服务器可以被利用,并且这些服务器往往拥有较高的带宽资源。

基于以上特点,作者认为该攻击方式可以被利用来发起大规模的DDoS攻击,某些小型攻击团队也可能因此获得原先没有的大流量攻击能力。

在 DDoSMon 上观察到的现网趋势

自批露以来,我们就一直利用 DDoSMon 的统计页面 持续监控Memcache DRDoS在实际现网中的情况。在过去的几个月中,这种类型攻击的频率和单次破坏性都不大,但是自2018-02-24开始,这种情况发生了较大变化。

近期,Memcache DRDoS 的攻击频率上升到了平时的10+倍,从每天小于50件,上升到每天300~400件,如下图所示。

图1

需要指出,当前 Memcache DRDoS 仍然还不是DDoS的主流。即使在反射类DDoS中,也只占 1% 以下(按攻击事件计),排在 DNS、CLDAP、NTP、SSDP、CharGen、L2TP、BitTorrent、Portmap、SNMP的后面。

图2

我们在现网中对 Memcache DRDoS 攻击方式的测试结果

我们对现网实际环境做了测试,结合分析我们捕获的实际攻击载荷,有以下内容值得关注:

  • 这种反射攻击的放大比率,在理想的测试环境中,可以稳定的测得 1k~60k之间的放大倍数;
  • 在现网实际环境中, 60k 的放大倍数,也是可以稳定的测得的;
  • 上述实测结果,与最初报告者0kee team的估计、US-CERT安全通告中的提法,基本是一致的;
  • 此外我们分析了现网实际发生的攻击负载。到目前为止,部分负载的构造是有问题,可能会导致memcache服务崩溃,并不能稳定的打出最大放大倍数。但是这里涉及的技术改进并不困难,攻击者容易做出响应调整。

另外,我们对将放大倍数调整到 60k 以上做了一些初步分析。我们怀疑这个比例是可以继续显著提高的,但具体技术细节不会在这里讨论。

当前已知 Memcache DRDoS 攻击的案例

2月27日,Qrator Labs 在 medium.com 上 批露 了一次DDoS攻击。按照文章的说法,这次攻击确信就是 UDP 11211 端口上的 memcache DRDoS,攻击流量峰值达到 480Gbps。

除了这个案例以外,我们确认有更大的攻击已经实际发生,但并未被公开报道。

当前已知各国运营商、安全社区的应对措施

目前已经有多个相关安全通告,部分列出如下:

  • 通告类:多个主要设备厂商、安全厂商、CERT已经发布通告,例如CloudFlare、Qrator Labs、Arbor Networks、US-CERT,等等
  • 预防和防御类:包括NTT 在内的多个ISP 已经对 UDP 11211 采取限速措施。

应对建议方面,ISP、网络管理员、企业用户可以从很多渠道获得应对建议,例如 这里。我们建议:

  • 各运营商 ISP、云服务厂商,考虑在自己的网络内对UDP 11211 采取限速措施
  • 各开发者和 memcache 管理者,考虑自查 memcache 设定ACL

总体而言,一方面,我们开始担忧1Tbps以上的DDoS攻击案例今后会比较频繁的出现,DDoS攻击开始从 G 时代进入 T 时代(Gbps vs Tbps);另一方面,我们必须指出至少在当前 Memcache DRDoS 还不是DDoS 攻击的主流,比例还在 1% 以下(按次数统计)。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏华章科技

史上最大 DDoS 攻击爆发,物联网安全问题浮出水面

上周五,美国最主要的 DNS 服务商 Dyn 遭遇大规模 DDoS 攻击,导致 Twitter、Spotify、Netflix、AirBnb、CNN、华尔街日报...

1042
来自专栏域名资讯

扫码时代来临 再一次证实了域名存在的必要性!

前几天有一位域名投资人在微博发了如下图片:

2625
来自专栏嵌入式程序猿

这几张图一定要看

前几天给团队做了个BLDC电机的培训,反应还比较强烈,还是有好多工程师对电机没有概念,不知道如何去控制,结合几页图来看看

1775
来自专栏腾讯云安全的专栏

行业首批︱腾讯云云镜荣获云计算产品信息安全和 CSA CSTR 双证书

腾讯云云镜通过公安部第三研究所检测中心联合云安全联盟的严格评测,成为首批通过该认证的极少数产品之一。

9.3K3
来自专栏小程序

于小戈电商小程序月入千万的秘密!如何收割第一波小程序电商红利?

“选择大于努力,我很庆幸,在我快破产时,改变我们这家小公司生死的转机是微信小程序”。大眼睛买买买商店小程序创始人于小戈说。 大眼睛买买买商店小程序上线当晚,在只...

5057
来自专栏镁客网

拉酷科技龚华超:用智能键盘Nums改变笔记本触控板,用触觉感知改变世界 | 镁客请讲

1930
来自专栏FreeBuf

谈谈物联网与摄像头安全

近日,Instagram的月活跃用户达到了5亿人次,Facebook又是Instagram的老东家,Facebook CEO扎克伯格本人自然也是非常高兴,他特意...

2897
来自专栏腾讯研究院的专栏

微信世界七大规则

 微信公开课PRO版   2016年12月28日,2017微信公开课PRO版在广州亚运城综合体育馆举行。公开课上,微信法务总监黄嘉慧以“合法、真实、善意、负责...

6804
来自专栏人人都是极客

从Intel和ARM争霸战, 看看做芯片到底有多难

新智元推送了《中国芯“逃兵”:缺芯是因为缺钱;中国芯“老炮”:芯片救国靠BAT不是开玩笑》一文,引起了无数从业者热议。

2433
来自专栏FreeBuf

内部威胁那些事儿(二):系统破坏

一、引言 上一章我们整体介绍了内部威胁的定义、特征以及反映普遍行为模式的威胁模型,并且根据威胁目标将现有内部威胁分成了系统破坏、信息窃取以及欺诈三类基本的类型,...

2647

扫码关注云+社区

领取腾讯云代金券