如今,互联网世界有点不太平,DDoS防护越来越难。例如GitHub网站遭遇有史以来最大的DDoS攻击,攻击流量峰值达到1.35Tbs。目前来看,GitHub是最先被报道的受害者一员,而此次攻击只是这波新型DDoS攻击的开始。
这种新型攻击是利用Memcached服务器实施反射DDoS攻击。根据CNCERT的跟踪分析,监测发现memcached反射攻击自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,3月1日凌晨2点30分左右峰值流量高达1.94Tbps。
随着memcached反射攻击方式被黑客了解和掌握,预测近期将出现更多该类攻击事件。具体来说,Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定UDP数据包,使Memcached服务器向受害者IP地址发射返回比原始数据包大数倍的数据(理论最高可达5万倍,通过持续跟踪观察攻击流量平均放大倍数在100倍左右),从而进行反射攻击。
研究人员认为,一些威胁将在未来的攻击中滥用配置不当的Memcached服务器,不幸的是,它们中的很多仍然暴露于互联网上。
犯罪分子已经开始勒索公司,向它们索取门罗币。相应的消息首次由Akamai披露,其检测到通过Memcached服务器执行的DDoS攻击,这种攻击不是使用UDP数据包淹没目标,而是在这些数据包中留下短消息。
“Memcached已经变成DDoS攻击世界中的‘新星’,正在被各种各样的攻击者广泛而快速的采用。作为最强有力的攻击,对于想把这种威胁变成一种商业机会的攻击者来说,它不会持续很久。”Akamai在出版的报告中表示。
“如果观察仔细,你可以看到隐藏于攻击中的勒索企图。这些攻击者坚持,受害者需要支付50个门罗币(相当于16000多元美金)。”
据悉,这种类型的攻击RDoS并不是“新的”,研究者首次在2015年的一个名为DD4BC的黑客团伙中发现。这个黑客团伙向许多公司发送电子邮件,威胁它们将发布DDoS攻击,而它们的DDoS防护措施难以应对,必须向他们支付一些费用。
目前,这种攻击还将持续下去。CNCERT发布3条建议,让企业和公司以及组织机构及早排除风险,做好DDoS防护准备。
1. 建议主管部门、安全机构和基础电信企业推动境内memcached服务器的处置工作,特别是近期被利用发动DDoS攻击的memcached服务器:
2. 建议基础电信企业、云服务商及IDC服务商在骨干网、城域网和IDC出入口对源端口或目的端口为11211的UDP流量进行限速、限流和阻断,对被利用发起memcached反射攻击的用户IP进行通报和处置。
3. 建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源(例如NTP服务器和SSDP主机)开展摸排,对此类反射攻击事件进行DDOS防护预备处置。
本文转自:https://www.zhuanqq.com/News/Industry/384.html