[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击
近日,我们看到一种利用Memcache作为DRDoS放大器进行放大的DDoS攻击,其利用memcached协议,发送大量带有被害者IP地址的UDP数据包给放大器主机,然后放大器主机对伪造的IP地址源做出大量回应,形成分布式拒绝服务攻击,从而形成DRDoS反射。
事件影响范围:
在外开放的memcache存储系统
这种攻击,发起攻击者伪造成受害者的IP对互联网上可以被利用的Memcached的服务发起大量请求,Memcached对请求回应。大量的回应报文汇聚到被伪造的IP地址源(也就是受害者),形成反射型分布式拒绝服务攻击。
令人担忧的一点是,利用Memcached可以数万倍的放大报文,即返回的报文大小是请求大小的数万倍,攻击者可以利用非常少的带宽即可发起流量巨大的DDoS攻击。而NTP和SSDP反射攻击一般只能放大数十倍到数百倍。Memcached放大反射DDoS攻击因为其放大倍数能产生更大的破坏力。
事件抓包样本:
如下是Memcached型反射型DDoS攻击的抓包样本,从UDP协议+源端口11211的特征,可以快速分辨这种攻击类型。
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](https://www.yunzhidian.com/wp-content/uploads/2018/03/2018030200324613.jpg)
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](https://www.yunzhidian.com/wp-content/uploads/2018/03/2018030200325277.jpg)
缓解措施
1、对于Memcache使用者
memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组。
为预防机器器扫描和ssrf等攻击,修改memcache默认监听端口。
升级到最新版本的memcache,并且使用SASL设置密码来进行权限控制。
2、对于网络层防御
多个ISP已经对UDP11211进行限速。
打击攻击源:互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。
ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。