使用Memcached服务器放大DDoS攻击的攻击者

现在针对全球服务提供商的分布式拒绝服务(DDoS)攻击有一个新的威胁载体。多家供应商和云运营商报告说,攻击者正在使用配置错误的Memcached服务器来帮助放大DDoS攻击。

在放大或反射攻击中,黑客滥用可公开访问的互联网服务中的错误配置错误配置的服务成为DDoS攻击的一部分。在新的memcached放大攻击中,黑客能够发送大量UDP流量以产生DDoS攻击。

“在峰值时我们已经看到260Gbps的入站UDPmemcached流量,”CloudFlare工程师MarekMajkowskiwroteon2月27日。“这对于新的扩增载体来说是巨大的。”

进一步阅读Brinqa如何为网络风险带来可行的见解SplunkvsLogRhythm:SIEMHead-to-Head

Akamai报告说它已经看到多组memcached反射攻击,其中一些达到190Gbps的攻击量ArborNetworks报告说它看到的memcached攻击甚至更大。

“我们观察到memcached反射/放大攻击有相当大的上升,范围从几百mb/秒到500gb/sec和更大,“ArborNetworks的首席工程师RolandDobbins在一份公告中写道。

Memcached是一种广泛使用的开源工具,用于分布式内存对象缓存。它通常与数据库一起部署,作为一种帮助分发处理负载和缩短查询响应时间的方法。

“由于其作为一种有机缓存中间件的形式及其缺乏访问控制(除非特别编译为一个很少使用的TLS身份验证选项),memcached不应该暴露给公共互联网,“Dobbins写道。

但问题是,memcached服务器实际上已被公开暴露。据Akamai称,公共互联网上有超过50,000个已知易受攻击的memcached系统。CloudFlare的分析发现,脆弱的memcached服务器遍布全球,在北美和欧洲的浓度最高。

放大攻击

还有其他多种DDoS扩增近年来攻击者利用的载体包括NTP(网络时间协议),它在2014年成为主要的威胁载体。攻击者近年来也错误配置了域名服务(DNS)和简单服务目录协议(SSDP)攻击。

使得memcached放大DDoS攻击特别令人担忧的是攻击可以带来的带宽放大因子。

“以前,攻击者受到直接发送到的攻击者的线性数量的限制。目标是进行DoS攻击;现在,单个数据包可以产生原始带宽的10到100倍,“US-CERT在基于UDP的放大攻击的技术警报中发出警告。”放大攻击的潜在影响可以通过BAF(带宽放大因子)来衡量,这可以计算为放大器发送以响应请求的UDP有效负载字节数,与请求的UDP有效负载字节数相比。“

根据US-CERT的DNS反射攻击示例可以提供28到54之间的带宽放大系数。相比之下,memcached反射攻击的放大系数在10,000到51,000之间。

补救

有几件事可以帮助缓解memcached反射攻击的风险。应该做的最明显的事情是组织不要将他们的memcached服务暴露给公共互联网。

ArborNetworks建议网络运营商使用IETF最佳实践(BCP)源地址验证技术,定义网络入口过滤的方法,如BCP38w和BCP84。

上一篇:每天六杯咖啡可以挽救你的生命 下一篇:没有了

本文URL:http://www.dfjssj.com/chuanganqi/gebaoredianzu/201908/2417.html

Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。