歡迎大家前往騰訊雲+社群,獲取更多騰訊海量技術實踐乾貨哦~
作者:騰訊遊戲雲
背景:Memcached攻擊創造DDoS攻擊流量紀錄
近日,利用Memcached伺服器實施反射DDoS攻擊的事件呈大幅上升趨勢。DDoS攻擊流量首次過T,引發業界熱烈回應。現騰訊遊戲雲回溯整個事件如下:
追溯2 月 27 日訊息,Cloudflare 和 Arbor Networks 公司於週二發出警告稱,惡意攻擊者正在濫用 Memcached 協議發起分散式拒絕服務(DDoS)放大攻擊,全球範圍內許多伺服器(包括 Arbor Networks 公司)受到影響。下圖為監測到Memcached攻擊態勢。
僅僅過了一天,就出現了1.35Tbps攻擊流量重新整理DDoS攻擊歷史紀錄。
美國東部時間週三下午,GitHub透露其可能遭受了有史最強的DDoS攻擊,專家稱攻擊者採用了放大攻擊的新方法Memcached反射攻擊,可能會在未來發生更大規模的分散式拒絕服務(DDoS)攻擊。對GitHub平臺的第一次峰值流量攻擊達到了1.35Tbps,隨後又出現了另外一次400Gbps的峰值,這可能也將成為目前記錄在案的最強DDoS攻擊,此前這一資料為1.1Tbps。
據CNCERT3月3日訊息,監測發現Memcached反射攻擊在北京時間3月1日凌晨2點30分左右峰值流量高達1.94Tbps。
騰訊雲捕獲多起Memcached反射型DDoS攻擊
截止3月6日,騰訊雲已捕獲到多起利用Memcached發起的反射型DDoS攻擊。主要攻擊目標包括遊戲、入口網站等業務。
騰訊雲資料監測顯示,黑產針對騰訊雲業務發起的Memcached反射型攻擊從2月21日起進入活躍期,在3月1日達到活躍高峰,隨後攻擊次數明顯減少,到3月5日再次出現攻擊高峰。攻擊態勢如下圖所示:
下圖為騰訊雲捕獲到的Memcached反射型DDoS攻擊的抓包樣本:
騰訊雲捕獲到的Memcached反射源為22511個**。**Memcached反射源來源分佈情況如下圖所示:在騰訊雲宙斯盾安全系統防護下,騰訊雲業務在Memcached反射型DDoS攻擊中不受影響。
那麼,什麼是Memcached反射攻擊?
一般而言,我們會根據針對的協議型別和攻擊方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊型別。
DDoS攻擊的歷史可以追溯到上世紀90年代,**反射型DDoS 攻擊則是DDoS攻擊中較巧妙的一種。**攻擊者並不直接攻擊目標服務 IP,而是通過偽造被攻擊者的 IP向開放某些某些特殊服務的伺服器發請求報文,該伺服器會將數倍於請求報文的回覆資料傳送到那個偽造的IP(即目標服務IP),從而實現隔山打牛,四兩撥千金的效果。而Memcached反射型攻擊因為其高達數萬倍的放大倍數,更加受到攻擊者的青睞。
Memcached反射攻擊,就是發起攻擊者偽造成受害者的IP對網際網路上可以被利用的Memcached的服務發起大量請求,Memcached對請求回應。大量的回應報文匯聚到被偽造的IP地址源,形成反射型分散式拒絕服務攻擊。
為何會造成如此大威脅?
據騰訊雲宙斯盾安全團隊成員介紹,以往我們面臨的DDoS威脅,例如NTP和SSDP反射攻擊的放大倍數一般都是30~50之間,而Memcached的放大倍數是萬為單位,一般放大倍數接近5萬倍,且並不能排除這個倍數被繼續放大的可能性。利用這個特點,攻擊者可以用非常少的頻寬即可發起流量巨大的DDoS攻擊。
安全建設需要未雨綢繆
早在Memcached反射型DDoS攻擊手法試探鵝廠業務之時,騰訊雲已感知到風險並提前做好部署,這輪黑客基於Memcached反射發起的DDoS攻擊都被成功防護。
與此同時,騰訊雲在捕獲到Memcached攻擊後,及時協助業務客戶自查,提供監測和修復建議以確保使用者的伺服器不被用於發起DDoS攻擊。
應對超大流量DDoS攻擊的安全建議
DDoS攻擊愈演愈烈,不斷重新整理攻擊流量紀錄,面臨超越Tbps級的超大流量攻擊,騰訊雲宙斯盾安全產品團隊建議使用者做以下應對:
1.需要加強對反射型UDP攻擊的重點關注,並提高風險感知能力
反射型UDP攻擊佔據DDoS攻擊半壁江山。根據2017年騰訊雲遊戲行業DDoS攻擊態勢報告顯示,反射型UDP攻擊佔了2017年全年DDoS攻擊的55%,需要重點關注此種型別攻擊。
此次Memcached反射型攻擊作為一種較新型的反射型UDP攻擊形式出現,帶來巨大安全隱患,需要業界持續關注網際網路安全動態,並提高風險感知能力,做好策略應對。在行業內出現威脅爆發時進行必要的演練。
2.應對超大流量攻擊威脅,建議接入騰訊雲超大容量高防產品
應對逐步升級的DDoS攻擊風險。建議配置騰訊雲超大容量高防產品,隱藏源站IP。用高防IP充足的頻寬資源應對可能的大流量攻擊行為,並根據業務特點制定個性化的防護策略,被DDoS攻擊時才能保證業務可用性,從容處理。在面對高等級DDoS威脅時,及時升級防護配置,必要時請求DDoS防護廠商的專家服務。
瞭解騰訊雲超大容量高防產品:suo.im/2Jw4VK
3.易受大流量攻擊行業需加強防範
門戶、金融、遊戲等往年易受黑產死盯的行業需加強防範,政府等DDoS防護能力較弱的業務需提高大流量攻擊的警惕。
風險往往曾經出現過苗頭,一旦被黑產的春風點起,在毫無防護的情形之下,就會燃起燎原大火。
參考連結:
blog.cloudflare.com/memcrashed-…
相關閱讀
此文已由作者授權騰訊雲+社群釋出,轉載請註明文章出處