758.6G每秒:阿里云成功防御国内最大规模Memcached DDoS反射攻击-阿里云开发者社区

开发者社区> jerryzhu> 正文

758.6G每秒:阿里云成功防御国内最大规模Memcached DDoS反射攻击

简介: 本周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。今天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。
+关注继续查看

本周,阿里云安全DDoS监控中心数据显示,利用Memcached 进行DDoS攻击的趋势快速升温。今天, 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。

lAHPBY0V4wL5ax7M8c0B4A_480_241
如下是Memcached型反射型DDoS攻击的抓包样本,从UDP协议+源端口11211的特征,可以快速分辨这种攻击类型。

image

image
这种攻击,发起攻击者伪造成受害者的IP对互联网上可以被利用的Memcached的服务发起大量请求,Memcached对请求回应。大量的回应报文汇聚到被伪造的IP地址源(也就是受害者),形成反射型分布式拒绝服务攻击。

令人担忧的一点是,利用Memcached可以数万倍的放大报文,即返回的报文大小是请求大小的数万倍,攻击者可以利用非常少的带宽即可发起流量巨大的DDoS攻击。而NTP和SSDP反射攻击一般只能放大数十倍到数百倍。Memcached放大反射DDoS攻击因为其放大倍数能产生更大的破坏力。
image
攻击态势

随着利用Memcached进行DDoS攻击技术的公开,越来越多尝试使用Memcached进行反射的DDoS发生,并且此类型DDoS攻击正快速上升。

近期,黑客已经扫描并收集全球可以被利用的MemcachedIP,并出现大量试探性超大流量Memcached DDoS攻击,下一步Memcached大流量DDoS攻击将成熟化并大量出现,成为黑客新的利器。

当前互联网上的反射点数量及危害

整个互联网可以用于Memcached反射的IP达到数十万,为攻击者提供了海量的军火库。

随着超大流量DDoS发起难度降低,IDC和云服务商需要储备更多的网络带宽用于防御,中小型IDC将很难应对这种超大规模DDoS攻击,只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。

目前,阿里云已提供Memcached安全配置建议,并在安骑士提供修复引导,帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。

(1) 什么是Memcached?

Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。

(2) Memcached业务场景?

如果网站包含了访问量很大的动态网页,那么数据库的负载将会很高。由于大部分数据库请求都是读操作,大部分读较高的业务系统采用Memcached减少数据库读,实现缓存功能可以显著地减小数据库负载,提升网站性能。

(3) 为什么Memcached会被利用与反射放大DDoS攻击?

  • 由于Memcache(版本低于1.5.6)默认监听UDP,天然满足反射DDoS条件
  • 很多用户将服务监听在0.0.0.0,且未进行iptables规则配置,这导致可以被任意来源IP请求
  • Memcached反射的倍数达到数万倍,非常利于用于放大报文倍数行成超大流量的DDoS攻击

针对如何防范Memcached,阿里云安全专家有两个方面的建议:

首先,如何避免被利用成为Memcached反射端:

建议对运行的Memccached服务进行安全检查和加固,防止被黑客利用发起DDoS攻击造成不必要的带宽流量;

如果您的Memcached版本低于1.5.6,且不需要监听UDP。您可以重新启动Memcached 加入 -U 0启动参数,例如:Memcached -U 0,禁止监听在udp协议上

更多Memcached服务安全加固文档:

https://help.aliyun.com/knowledge_detail/37553.html

如果您购买了阿里云云盾安骑士,您可以在安骑士控制台根据引导进行修复。

第二,如何防护Memcached DDoS反射攻击

建议优化业务架构,将业务分散到多个IP上;

利用Memcached可以相对容易发起超大流量DDoS攻击,防御Memcached攻击需要储备足够的带宽。如果遇到大流量反射攻击,可以采购云清洗服务,并建议采用针对UDP反射进行过滤的云清洗服务。阿里云高防IP已推出UDP封堵服务。

参考链接:

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10084 0
使用SSH远程登录阿里云ECS服务器
远程连接服务器以及配置环境
2511 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
9161 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13890 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
7365 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
22404 0
阿里云服务器ECS登录用户名是什么?系统不同默认账号也不同
阿里云服务器Windows系统默认用户名administrator,Linux镜像服务器用户名root
4506 0
+关注
1
文章
1
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载