開源分散式內存緩存系統 Memcrashed 被利用發起 DDoS 放大攻擊,峰值竟達 500 Gbps
外媒 2 月 27 消息,Cloudflare 和 Arbor Networks 公司於周二警告稱,惡意攻擊者正在濫用 memcached 協議發起分散式拒絕服務(DDoS)放大攻擊,全球範圍內許多伺服器(包括 Arbor Networks 公司)受到影響。
memcached 是一個高性能的分散式內存對象緩存系統,用於動態 Web 應用以減輕資料庫負載。它通過在內存中緩存數據和對象來減少讀取資料庫的次數,從而提高動態、資料庫驅動網站的速度。此外,客戶端可以通過埠 11211 上的 TCP 或 UDP 與 memcached 伺服器進行通信。
在此次(DDoS)放大行動中,攻擊者使用與受害者 IP 相匹配的假冒 IP 地址,將請求發送到埠 11211 上的目標伺服器。雖然攻擊者發送到伺服器的請求僅僅只有幾個位元組,但其響應卻比正常的要高出數萬倍,這種情況可能會帶來嚴重的攻擊行動。 Cloudflare 認為攻擊者顯然是在濫用已啟用 UDP 的無保護的 memcached 伺服器。這些伺服器來自世界各地,但主要是在北美和歐洲範圍內,目前大部分伺服器由由 OVH,DigitalOcean 和 Sakura 託管。
目前 Cloudflare 觀察到的最大的 memcached DDoS 攻擊峰值為 260 Gbps,但 Arbor Networks 稱其發現的攻擊峰值已達到 500 Gbps,甚至可能還會更高。Arbor Networks 指出,這些攻擊中使用的查詢類型也可以針對 TCP 埠 11211,但由於 TCP 查詢不能真實被欺騙,因此該協議被濫用的可能性並不高。
根據 CDN (內容交付網路)監控的攻擊數據來看,目前大約有 5700個與 memcached 伺服器相關的 IP 地址,但專家預計未來會發現更大的攻擊,因為 Shodan 顯示了將近 88,000 個開放式伺服器。目前大部分暴露的系統是在美國,其次是中國和法國。
Cloudflare 建議在非必要的情況下禁用 UDP 支持,並提醒系統管理員確保他們的伺服器不能從 Web 訪問。另外,互聯網服務提供商(ISP)也可以通過修復易受攻擊的協議和 防止 IP 欺騙來幫助減少這種或者其他類型的放大攻擊。
END
本文由 HackerNews.cc 編譯整理,封面來源於網路;
深圳市極限網路科技有限公司專註於系統底層和網路攻防技術研究,是一家將網路安全與大數據人工智慧運用相結合的信息安全運營服務商,成立至今為我國關鍵信息基礎設施、政府部門、大中型企事業單位以及重點行業提供了全方位的網路安全解決方案以及專業的安全服務。
TAG:極限安全資訊 |