今天,有安全廠商發出預警,稱監測到一種利用 Memcache 作為 DRDoS 放大器進行放大的超大規模 DDoS 攻擊,這種反射型 DDoS 攻擊能夠達到 5 萬倍的放大系數,犯罪分子可利用 Memcache 服務器通過非常少的計算資源發動超大規模的 DDoS 攻擊。該廠商表示目前全球多個雲服務器均遭到攻擊。
IT 之傢小編瞭解到,DDoS 攻擊是通過大量合法的請求占用大量網絡資源,以達到癱瘓網絡的目的。
該廠商介紹,這種利用 Memcache 作為 DRDoS 放大器進行放大的 DDoS 攻擊,利用 Memcached 協議,發送大量帶有被害者 IP 地址的 UDP 數據包給放大器主機,然後放大器主機對偽造的 IP 地址源做出大量回應,形成分佈式拒絕服務攻擊,從而形成 DRDoS 反射。
最後,安全專傢對於 Memcache 使用者給出幾條建議:
1.Memcache 的用戶建議將服務放置於可信域內,有外網時不要監聽 0.0.0.0,有特殊需求可以設置 acl 或者添加安全組。
2. 為預防機器器掃描和 ssrf 等攻擊,修改 memcache 默認監聽端口。
3. 升級到最新版本的 memcache,並且使用 SASL 設置密碼來進行權限控制。
對於網絡層防禦,360 安全專傢表示目前已有包括 NTT 在內的多個國外 ISP 已經對 UDP11211 進行限速。同時,安全專傢表示,互聯網服務提供商應當禁止在網絡上執行 IP 欺騙。IP 欺騙 DRDoS 的根本原因。具體措施可以參考 BCP38。
此外,安全專傢也建議 ISP 應允許用戶使用 BGP flowspec 限制入站 UDP11211 的流量,以減輕大型 DRDoS 攻擊時的擁堵。
