歡迎大家前往騰訊雲+社區,獲取更多騰訊海量技術實踐乾貨哦~
作者:騰訊遊戲雲
背景:Memcached攻擊創造DDoS攻擊流量紀錄
近日,利用Memcached服務器實施反射DDoS攻擊的事件呈大幅上升趨勢。DDoS攻擊流量首次過T,引發業界熱烈迴應。現騰訊遊戲雲回溯整個事件如下:
追溯2 月 27 日消息,Cloudflare 和 Arbor Networks 公司於週二發出警告稱,惡意攻擊者正在濫用 Memcached 協議發起分佈式拒絕服務(DDoS)放大攻擊,全球範圍內許多服務器(包括 Arbor Networks 公司)受到影響。下圖爲監測到Memcached攻擊態勢。
僅僅過了一天,就出現了1.35Tbps攻擊流量刷新DDoS攻擊歷史紀錄。
美國東部時間週三下午,GitHub透露其可能遭受了有史最強的DDoS攻擊,專家稱攻擊者採用了放大攻擊的新方法Memcached反射攻擊,可能會在未來發生更大規模的分佈式拒絕服務(DDoS)攻擊。對GitHub平臺的第一次峯值流量攻擊達到了1.35Tbps,隨後又出現了另外一次400Gbps的峯值,這可能也將成爲目前記錄在案的最強DDoS攻擊,此前這一數據爲1.1Tbps。
據CNCERT3月3日消息,監測發現Memcached反射攻擊在北京時間3月1日凌晨2點30分左右峯值流量高達1.94Tbps。
騰訊雲捕獲多起Memcached反射型DDoS攻擊
截止3月6日,騰訊雲已捕獲到多起利用Memcached發起的反射型DDoS攻擊。主要攻擊目標包括遊戲、門戶網站等業務。
騰訊雲數據監測顯示,黑產針對騰訊雲業務發起的Memcached反射型攻擊從2月21日起進入活躍期,在3月1日達到活躍高峯,隨後攻擊次數明顯減少,到3月5日再次出現攻擊高峯。攻擊態勢如下圖所示:
下圖爲騰訊雲捕獲到的Memcached反射型DDoS攻擊的抓包樣本:
騰訊雲捕獲到的Memcached反射源爲22511個。Memcached反射源來源分佈情況如下圖所示:
在騰訊雲宙斯盾安全系統防護下,騰訊雲業務在Memcached反射型DDoS攻擊中不受影響。
那麼,什麼是Memcached反射攻擊?
一般而言,我們會根據針對的協議類型和攻擊方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊類型。
DDoS攻擊的歷史可以追溯到上世紀90年代,反射型DDoS 攻擊則是DDoS攻擊中較巧妙的一種。攻擊者並不直接攻擊目標服務 IP,而是通過僞造被攻擊者的 IP向開放某些某些特殊服務的服務器發請求報文,該服務器會將數倍於請求報文的回覆數據發送到那個僞造的IP(即目標服務IP),從而實現隔山打牛,四兩撥千金的效果。而Memcached反射型攻擊因爲其高達數萬倍的放大倍數,更加受到攻擊者的青睞。
Memcached反射攻擊,就是發起攻擊者僞造成受害者的IP對互聯網上可以被利用的Memcached的服務發起大量請求,Memcached對請求迴應。大量的迴應報文匯聚到被僞造的IP地址源,形成反射型分佈式拒絕服務攻擊。
爲何會造成如此大威脅?
據騰訊雲宙斯盾安全團隊成員介紹,以往我們面臨的DDoS威脅,例如NTP和SSDP反射攻擊的放大倍數一般都是30~50之間,而Memcached的放大倍數是萬爲單位,一般放大倍數接近5萬倍,且並不能排除這個倍數被繼續放大的可能性。利用這個特點,攻擊者可以用非常少的帶寬即可發起流量巨大的DDoS攻擊。
安全建設需要未雨綢繆
早在Memcached反射型DDoS攻擊手法試探鵝廠業務之時,騰訊雲已感知到風險並提前做好部署,這輪黑客基於Memcached反射發起的DDoS攻擊都被成功防護。
與此同時,騰訊雲在捕獲到Memcached攻擊後,及時協助業務客戶自查,提供監測和修復建議以確保用戶的服務器不被用於發起DDoS攻擊。
應對超大流量DDoS攻擊的安全建議
DDoS攻擊愈演愈烈,不斷刷新攻擊流量紀錄,面臨超越Tbps級的超大流量攻擊,騰訊雲宙斯盾安全產品團隊建議用戶做以下應對:
1.需要加強對反射型UDP攻擊的重點關注,並提高風險感知能力
反射型UDP攻擊佔據DDoS攻擊半壁江山。根據2017年騰訊雲遊戲行業DDoS攻擊態勢報告顯示,反射型UDP攻擊佔了2017年全年DDoS攻擊的55%,需要重點關注此種類型攻擊。
此次Memcached反射型攻擊作爲一種較新型的反射型UDP攻擊形式出現,帶來巨大安全隱患,需要業界持續關注互聯網安全動態,並提高風險感知能力,做好策略應對。在行業內出現威脅爆發時進行必要的演練。
2.應對超大流量攻擊威脅,建議接入騰訊雲超大容量高防產品
應對逐步升級的DDoS攻擊風險。建議配置騰訊雲超大容量高防產品,隱藏源站IP。用高防IP充足的帶寬資源應對可能的大流量攻擊行爲,並根據業務特點制定個性化的防護策略,被DDoS攻擊時才能保證業務可用性,從容處理。在面對高等級DDoS威脅時,及時升級防護配置,必要時請求DDoS防護廠商的專家服務。
瞭解騰訊雲超大容量高防產品:http://suo.im/2Jw4VK
3.易受大流量攻擊行業需加強防範
門戶、金融、遊戲等往年易受黑產死盯的行業需加強防範,政府等DDoS防護能力較弱的業務需提高大流量攻擊的警惕。
風險往往曾經出現過苗頭,一旦被黑產的春風點起,在毫無防護的情形之下,就會燃起燎原大火。
參考鏈接:
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
http://mp.weixin.qq.com/s/b0TXg_7Q9TweP4qu-8PKqw
相關閱讀
Unity引擎與C#腳本簡介
基於騰訊雲的視頻聊天研究
ios微信內存監控
此文已由作者授權騰訊雲+社區發佈,轉載請註明文章出處
原文鏈接:https://cloud.tencent.com/developer/article/1053166