深度剖析-Memcached-超大型DRDoS攻击.docxVIP

深度剖析 Memcached 超大型DRDoS攻击雷锋网?昨天12:04雷锋网编者按：近日，国内外多家安全公司和机构接连发布了针对 Memcached 超级DRDoS（Distributed Reflection Denial of Service）攻击的预警，引发各方关注。雷锋网此前也曾就其对 GitHub 发起的攻击进行过报道，当时攻击的最大峰值流量达到了惊人的 1.35T。要知道，在2月27号之前，Memcached的反射攻击事件流量范围不过几百兆到500G。只有短短几天，攻击峰值的历史纪录就迅速被翻倍刷新，并且攻击发生的频率从一天十几次到几百次，呈现爆发式增长。目前，Memcached分布情况如何？黑客是如何发起攻击的？应该如何检查和预防？以下为绿盟科技电信云堤联合投稿，雷锋网编辑。1、事件回顾据监控数据显示，从本周一至周五（2月26日至3月2日 06:00）短短5天内，全球就发生了 79 起利用 Memcached 协议的反射放大攻击。日攻击总流量最高达到 419TBytes。?▲Memcached反射放大攻击日攻击次数?▲Memcached反射放大攻击日攻击总流量其中，针对我国境内的 Memcached 反射放大攻击就有68次，江苏、浙江两省被攻击频繁。针对我国境内的攻击，单次攻击最高攻击峰值达 505Gbps。攻击持续时间最长的一次发生在3月1日，持续1.2小时，总攻击流量达103.8TBytes。?▲中国各省份地区Memcached反射放大攻击次数从影响范围来看，所有互联网的业务都可能成为Memcached DRDoS的攻击对象。一方面带宽或业务遭受超大流量的攻击，导致出口带宽完全被占满，正常业务无法访问；另一方面企业内部的Memcached系统可能被不法分子利用成为攻击帮凶。2、攻击分析2.1 什么是Memcached？Memcached是一个高性能的开源分布式内存对象缓存系统，主要用于提高Web应用的扩展性，能够有效解决大数据缓存的很多问题，在全球范围内都有广泛使用。Memcached基于内存的key-value存储小块数据，并使用该数据完成数据库调用、API调用或页面渲染等。攻击者正是利用 key-value 这项功能构造了大流量的Memcached反射攻击。2.2 Memcached分布情况最新统计显示，全球总共有3790个Memcached服务器被利用参与到这些Memcached反射放大攻击。这些被利用反射源遍布于全球96个国家或地区范围内。其中，美国就占了全球的1/4。?分布在中国地区的被利用的Memcached服务器位列第二位，占比12.7%。在中国各省份占比如下所示，广东、北京、浙江为TOP3。据绿盟科技威胁情报中心（NSFOCUS Network Threat Intelligence，简称NTI）的统计结果显示，全球范围内存在被利用风险的Memcached服务器为104,506台。分布情况如下：?从地理分布来看，美国可被利用的Memcached服务器最多，其次是中国。这些活跃的Memcached反射器为构造超级DRDoS攻击提供了有力的先决条件。如果不及时修复治理，预计基于Memcached反射攻击的攻击事件会继续增加，后果不敢想象。2.3 Memcached如何形成DRDoS攻击？Memcached反射攻击的构造过程分为如下3步；1.?收集反射器IP通过NTI/Shodan等情报引擎找到开放的Memcached系统，获取系统IP；2.?配置反射器利用开放的Memcached系统作为反射器，并修改key-value配置实现较大的存储容量，为构造反射放大攻击进行准备；3.?发起反射攻击攻击者将自身IP伪造成攻击的目标地址，并向Memcached反射器发送请求读取Memcached在key-value中存储的信息。Memcached在收到请求后向伪造的虚假源IP进行回复，从而形成反射。?▲Memcached反射攻击示意图当大量Memcached被同时利用，并用同一个伪造源IP进行回复，就轻而易举地形成了针对这个伪造源（受害者）的大流量DRDoS攻击。2.4 Memcached的攻击特征DRDoS（Distributed Reflective Denial-of-Service）是DDoS攻击分类中的一种。此前各类安全厂商监测到的DRDoS攻击主要是SSDP反射、DNS反射、NTP反射等。下表（引自US-Cert）详细列举了各类反射攻击的放大倍数。仅从放大倍数来看，Memcached反射攻击的危害程度远远高于其他反射攻击类型，US-Cert提供的数据显示它能够实现51,000倍的放大效果。与其他反射攻击相比，Memcached如何实现这么多倍的放大效果呢？其中的重要原因就是Memcached的ke