• mobile365体育在线网址 > 稿件库 > 2017归档

    Memcached超大型DRDoS攻击 中国电信云堤与绿盟科技联合报告揭露真相

    2018年03月05日 12:07:40   来源:砍柴网

      近日, 国内外多家安全企业和机构发布了Memcached超级DRDoS(Distributed Reflection Denial of Service)攻击的预警,引发各方关注。今天中国电信云堤与绿盟科技联合发布报告《深度剖析Memcached 超大型DRDoS攻击》,报告指出从本周一至周五(2月26日至3月2日 06:00)短短5天内,全球就发生了79起利用Memcached协议的DDoS反射放大攻击。日攻击总流量最高达到419TBytes。gHCmobile365体育在线网址36500365

      深度剖析Memcached 超大型DRDoS攻击gHCmobile365体育在线网址36500365

      近日,国内外多家安全企业和机构发布了Memcached超级DRDoS(Distributed Reflection Denial of Service,分布式反射拒绝服务)攻击的预警,引发各方关注。据大家的监控显示,目前该攻击的最大峰值流量已经达到了1.35T。而在2月27号,Memcached的反射攻击事件流量范围不过几百兆到最大500G左右。几日之隔,攻击峰值的历史纪录就迅速被翻倍刷新,并且攻击发生的频率从一天十几次到几百次,呈现爆发式增长。这是要搞大事情!gHCmobile365体育在线网址36500365

      其中,针对我国境内的Memcached反射放大攻击就有68次,江苏、浙江两省被攻击频繁。针对我国境内的攻击,单次攻击最高攻击峰值达505Gbps。攻击持续时间最长的一次发生在3月1日,持续1.2小时,总攻击流量达103.8TBytes。gHCmobile365体育在线网址36500365

    gHCmobile365体育在线网址36500365

      其中,针对我国境内的Memcached反射放大攻击就有68次,江苏、浙江两省被攻击频繁。针对我国境内的攻击,单次攻击最高攻击峰值达505Gbps。攻击持续时间最长的一次发生在3月1日,持续1.2小时,总攻击流量达103.8TBytes。gHCmobile365体育在线网址36500365

    gHCmobile365体育在线网址36500365

      Memcached分布情况gHCmobile365体育在线网址36500365

      最新统计显示,全球总共有3790个Memcached服务器被利用参与到这些Memcached反射放大攻击。这些被利用反射源遍布于全球96个国家或地区范围内。其中,美国就占了全球的1/4。gHCmobile365体育在线网址36500365

    gHCmobile365体育在线网址36500365

      分布在中国地区的被利用的Memcached服务器位列第二位,占比12.7%。在中国各省份占比如下所示,广东、北京、浙江为TOP3。 绿盟威胁情报中心NTI (NSFOCUS Network Threat Intelligence,简称NTI)的统计结果显示,全球范围内存在被利用风险的Memcached服务器为104,506台。分布情况如下:gHCmobile365体育在线网址36500365

    gHCmobile365体育在线网址36500365

      从地理分布来看,美国可被利用的Memcached服务器最多,其次是中国。gHCmobile365体育在线网址36500365

    gHCmobile365体育在线网址36500365

      仅从放大倍数来看,Memcached反射攻击的危害程度远远高于其他反射攻击类型,US-Cert提供的数据显示它能够实现51,000倍的放大效果。gHCmobile365体育在线网址36500365

      与其他反射攻击相比,Memcached如何实现这么多倍的放大效果呢?其中的重要原因就是Memcached的key-value功能。前文提到key-value的作用是决定存储容量的大小,正常情况下key-value的值通常不超过几千字节。当Memcached被攻击者利用作为反射器时,key-value的值经过修改可以达到100万字节以上。gHCmobile365体育在线网址36500365

      这个攻击过程,大家通过实验室也进行了完整复现。gHCmobile365体育在线网址36500365

    gHCmobile365体育在线网址36500365

      触发Memcached反射攻击的请求报文最小为15字节,而返回的请求数据达到105万字节,理论上可放大到接近7万倍。如此强悍的放大攻击,与其他各类DRDoS攻击形成断崖式的差距对比。gHCmobile365体育在线网址36500365

      Memcached攻击防护加固建议gHCmobile365体育在线网址36500365

      Memcached系统自查建议gHCmobile365体育在线网址36500365

      攻击的形成过程为大家提供了一个很好的预警思路,安全产品可针对Memcached的key-value配置进行检测,在Memcached系统被利用成为攻击源之前就进行拦截。检测流程如下,技术建议详见报告。gHCmobile365体育在线网址36500365

    gHCmobile365体育在线网址36500365

      Memcached攻击流量清洗gHCmobile365体育在线网址36500365

      面对如此大规模、大范围的DDoS攻击威胁,所有网络安全节点都应该加强防范,从攻击防护和外发清洗两方面入手,充分保障基础设施和业务流量的安全。针对此攻击,大家提供如下防护建议,技术建议详见报告。gHCmobile365体育在线网址36500365

      · 运营商。运营商及IDC处于网络上游,拥有强大的带宽资源,是攻击最直接的受害者,也是防护的第一道屏障。运营商能够灵活控制路由策略和防护策略进行快速过滤。gHCmobile365体育在线网址36500365

      · 企业用户。企业用户通常贴近服务终端,熟悉掌握自身业务流量特点,策略配置更加明确,灵活性强。gHCmobile365体育在线网址36500365

      Memcached系统防护加固gHCmobile365体育在线网址36500365

      对于正在使用Memcached系统的用户,为了避免被攻击者利用,使Memcached成为攻击源,对外发起攻击流量,影响自身系统性能,大家提供如下几点建议。gHCmobile365体育在线网址36500365

      1)在边界网络设备上配置URPF策略,过滤外发的虚假源IP报文;gHCmobile365体育在线网址36500365

      2)在Memcached系统前进行深度检测,直接过滤报文特征中set key 0 900 64000的第三个字段过大的数据包,这样做可以在Memcached系统被修改利用成为攻击源前进行拦截;gHCmobile365体育在线网址36500365

      3)对Memcached服务进行安全检查,查看Memcached服务是否监听UDP端口。查找Memcached进程,查看是否有-l参数,如果没有则默认为0.0.0.0。若Memcached服务不需要监听UDP,禁用UDP。gHCmobile365体育在线网址36500365

      来源:XXX(非mobile365体育在线网址36500365)的作品均转载自其它媒体,转载请敬重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

      如发现mobile365体育在线网址文章存在问题,提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@citnews.com.cn。

    [上传用户: ]
    分享到微信

    推荐

    三问罗永浩:做电子烟是新机会还是续命?

    1月15日晚,锤子科技投资的快如科技在北京发布了子弹短信升级版“聊天宝”,身陷风波而久未露面的罗永浩也现身了,为聊天宝站台并主讲新功能,同时发布了一款电子烟产品,福禄(Flow)换烟雾化烟,正式宣布进入电子烟市场。值得一提的是,福禄电子烟CEO正是原锤子科技001号员工朱萧木。

    资讯

    斑马会员与同程旅游签署全面战略合作协议

    1月17日,斑马会员与同程旅游在北京签署了战略合作协议。同程资本CEO娄德明、格家网络董事长李潇、祥峰投资合伙人赵楠、真格基金副总裁刘元、同程旅游旗下臻旅科技CEO陈喆、同程旅游旗下臻旅科技COO张娜等出席签约仪式。

    互联网+

    为什么说自动驾驶的门槛是车道级地图?

    据悉,人类有80%活动的信息与地理位置有关。即使现在宅男腐女再多,但一个流动的社会才是主流。为此,整合地图、导航、互联网、大数据、云计算、人工智能等在内的地理信息技术在深刻影响着社会的方方面面。就像联合国副秘书长刘振民说,地理信息就如同“水”和“电”一样,是一种基础设施,将无处不在。而这其中,车道级地图正扮演着基石的角色。   

    融合

    从植发AI看智能手术机器人的国产化之路

    在工作和生活的双重压力下,很多80后乃至90后的青年都“光荣”地加入了“脱发一族”。为了拯救发际线或是不变成“地中海”,很多人从此走上了寻医问药之旅。而最终的结果,往往是部分人因为药石无效选择了植发。或许你没想到的是,鉴于植发手术时间长、过程繁琐等原因,如今已经出现了专门的人工智能植发机器人。

    创投

    哒哒英语完成2.55亿美金D轮融资

    1月16日消息,据36氪报道,在线少儿英语教育机构哒哒英语近日完成2.55亿美金D轮融资,由华平领投,老股东好未来和涌铧投资跟投。

    XML 地图 | Sitemap 地图