犯罪分子可利用 Memcache 服务器通过非常少的计算资源发动超大规模的 DDoS 攻击。
这种类型的 DDoS 攻击之所以有可能实现,是因为 Memcache 开发人员在产品中实现对 UDP 协议支持的方式不安全。
更糟糕的是,Memcache 服务器还会在默认配置中将 UDP 端口暴露给外部链接,也就是说未受防火墙保护的任何 Memcache 服务器均可被用于发动 DDoS 攻击。
Memcache 服务器可用于发动反射型 DDoS 攻击
Cloudflare 公司表示前几天检测到了经由被暴露 Memcache 服务器执行的多起 DDoS 攻击。
该公司在技术报告中解释称,犯罪分子向端口11211 上的 Memcache 服务器发送小字节请求。由于 UDP 协议并未正确执行,因此 Memcache 服务器并未以类似或更小的包予以响应,而是以有时候比原始请求大数千倍的包予以响应。
由于 UDP 协议即包的原始 IP 地址能轻易遭欺骗,也就是说攻击者能诱骗 Memcache 服务器将过大规模的响应包发送给另外一个 IP 地址即 DDoS 攻击的受害者的 IP 地址。
这种类型的 DDoS 攻击被称为“反射型 DDoS”或“反射 DDoS”。响应数据包被放大的倍数被称为 DDoS 攻击的“放大系数”。
Memcache 放大系数可达到51,200
Cloudflare 公司表示,基于 Memcache 的反射型 DDoS 攻击的放大系数可达到 51,200。该公司表示,在针对其网络的最新 DDoS 攻击中,攻击者发送了15字节的包,而 Memcache 服务器以750kB的包予以响应。
不过,这种放大系数根据攻击者构造恶意请求的能力而各不相同。攻击者通过构造恶意请求诱骗服务器以规模更大的包予以响应。
Cloudflare 公司还指出,该公司在前两天所检测到的最大规模的反射型 DDoS 攻击规模高达260 G 比特每秒 和23 Mpps(百万包每秒)。
Cloudflare 公司的工程师 Marek Majkowski 表示,“多数 Memcache 响应包的规模是 1400比特,可达到257 G 比特每秒的带宽。”他认为对于一个新的放大向量来说,这个规模巨大,数字不会撒谎。
确实,数字不会撒谎。奇虎360网络安全研究院 (Netlab) 发布的公开数据显示,被作为反射型 DDoS 攻击来源的Memcache 服务器数量骤升。
目前可利用的 Memcache 服务器已超过9.3万台,可被用于发动反射型 DDoS 攻击的其它协议和技术还包括 DNS、TFTP、LDAP、CLDAP、SNMP、BitTorrent 等。
放大系数的范围一般是2到10,最大的介于50到100。放大系数超过100的反射型 DDoS 攻击非常罕见,更不要说 Memcache 服务器案例中的10,000 或 50,000了。
如果 Memcache 不是流行的网页缓存解决方案的话,那么问题也不会这么严重。Bleeping Computer 找到了超过9.3万台 Memcache 服务器可从网上访问。好在这个数量比2015年发现的134,000 要少。
安全研究人员建议 Memcache 服务器所有人如果不使用 UDP 端口则将其关闭,且将这些服务器置于私有网络中并部署防火墙保护措施。Cloudflare 公司已在报告中提供了一些禁用 Memcache UDP 支持的简单步骤供服务器所有人参考。
Akamai 公司和 Arbor Networks 公司也发布了这个新型DDoS 攻击向量的报告。
文章原文链接:https://www.anquanke.com/post/id/99241