“外敷内用”防御Memcached DDoS

SDN in China

2018年3月5日

技术干货

“核弹级”DDoS正在侵扰全

美国网络服务提供商Cloudflare的技术人员于2月27日发布消息称,恶意攻击者正在滥用 Memcache 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内绝大多数相关服务器受到影响。

早在2017年6月,已经有国内厂商发现了这种利用Memcache放大的攻击技术,并在同年11月对安全社区做出了预警。据调查显示,目前在外开放的Memcache存储系统数量级在十万左右,都可能会受到此类攻击影响。

如下图,从端口的开放主机信息上看,地区分布中美国占据第一位,中国据次席。

640-webp

而受影响的机器数量地理分布中,中国却远超于美国。640-webp-1

传统的DDoS主要通过SYN/ACK Flood、TCP 全连接、刷 Script 脚本三种方式攻击。上一次有公开报道的DDoS攻击流量峰值大约在400G左右。目前已发布的消息中,GitHub遭遇了最严重的DDoS网络攻击,峰值流量已经达到了1.35Tbps,创历史新高。借助CDN厂商的支持,GitHub已于攻击发生后10分钟内化解了危机,然而本次攻击仍在进行中,不排除后续会出现更大攻击峰值流量的可能。

先知攻

此次事件与以往攻击源直接向受害者发送DDoS流量的攻击方式不同,而是利用了间接的反射放大手段。熟悉《三体》的朋友一定还记得叶文洁在红岸基地利用太阳放大地球信号发送给宇宙三体人的情节,本次攻击就是利用了分布于全球的Memcached服务器作为信号放大器,并伪造请求地址,将恶意流量放大上万倍之后反射(Reflect)给受害者,这种攻击方式被称作DRDoS。640-webp-2

Memcached是业界主流的分布式缓存系统,为当前的主流网络服务提供数据缓存和加速服务。其实如果是以安全的方式部署的Memcached服务器,是不会被拿来当枪使的,但实际情况是,网络中存在大量用默认的不安全方式部署的Memcached服务器。当攻击者向这些服务器的默认Memecached服务端口——11211端口发送伪造了源地址的UDP请求时,Memcached就会响应原本十几个字节长度的请求包(一般为请求Memcached的全面状态),并将十几万甚至上百万字节的响应结果发送给伪造的请求地址(受害者)。

与一般感染病毒的“肉鸡”不同,运行Memcached的服务器一般都位于各大IDC机房,具有强大的运算能力和充裕的网络带宽,这也是本次DRDoS攻击能够造成如此大破坏的原因。

▌后知防

对于DDoS的防护业界是有共识的。业内知名网络安全专家曾提到,防护DDoS只能在电信运营商层面在攻击源头封攻击IP的流量;如果运营商不封,攻击流量就像洪水一样涌向被攻击的服务器地址(即DDoS受害者),IDC及各路云厂商是无法阻挡这些流量不涌向他们的。也就是说,攻击流量肯定是要涌入IDC的大院子里,被攻击的目标开始叫苦连天。

IDC和云服务厂商要么清洗攻击流量、要么黑洞被攻击者。鉴于流量清洗的成本,国内IDC和云服务厂商对受到大流量DDoS攻击的客户,一般会采取关小黑屋或者清退的处理方式。这种处理方法实为无奈之举,会很大程度地破坏用户体验。

双管齐下:攻击预感知&策略性防御

对于财大气粗的服务商,兵来将挡水来土掩就是了。而其他服务商,我们建议采取“外使敷贴之饵,内用长托之剂”的策略,扩大纵深、双管齐下防御此类DDoS攻击。对于已经上云或者上SDN的用户,一方面要防御外部的DDoS,一方面要抑制自己租户可能的对外攻击。借助云杉网络 DeepFlow®,您可以通过如下场景及功能的结合,有效感知和防御类似攻击:

1. 在DeepFlow®报警管理页面,根据环境中的资源类型,创建针对本次攻击的报警策略。640-webp-3

2. 综合带宽容量、DeepFlow®持续监测到的流量峰值基线,以及用户根据业务自定义的安全基线,来设置报警的触发条件和阈值。640-webp-4

3. 云平台管理员从DeepFlow®监控大屏(特征分析)时刻关注网络态势。640-webp-5

4. 对于突发流量,在DeepFlow®特征分析模块,根据各项参数判断攻击态势的有无及强弱。640-webp-6

5. 针对核心业务,在DeepFlow®内网流量分析中创建安全白名单,为指定的资源组、协议和端口设定白名单列表。640-webp-7

6. 对于核心业务,要时刻留意白名单的告警信息。白名单之外的异常流量访问一目了然。640-webp-8

7. 一旦发现外部攻击,要祭出“敷贴之饵”。管理员需及时在DeepFlow®数据控制模块,创建用于流量清洗的导流策略。当初老板黑着脸购买的那些安全产品和服务终于可以派上用场了不是吗?640-webp-9

8. 对于防不胜防的内网漏洞,请用“长托之剂”。该下ACL的就下ACL,该下流表的下流表,没隔离的赶紧隔离。安全和业务之争由来已久,此时此刻,安全就是业务的基石。

最后,别忘了及时通知客户修改Memcache默认监听端口、升级Memcache的版本等后续操作。此外,IP欺骗是DDoS轻易发起的极大因素,业界应该思考如何限制IP欺骗。


%e4%b8%8b%e8%bd%bd-webp-4

Related Posts

10问10答来了!一图读懂NSP混合云网络互联与服务平台

SDN in China

2019年12月6日

技术干货

针对企业上云过程中IT架构的特点,云杉网络推出NSP产品,聚焦于多云互联、网络边界服务及相关的网络运维问题。为企业云数据中心在建设和管理中所面对的多数据中心、异构资源池、多厂商网络设备等环境,提供统一的逻辑网络编排和网络服务管理。

Read More

从神奇四侠到全能英雄:云时代的IDC要换一种活法

SDN in China

2019年11月4日

技术干货

云时代下,单纯的服务器托管不能够满足现代企业上云的需求,“风火水电”的完美控制也已经不再是数据中的特质——“神奇四侠”型的数据中心自然不再是企业眼中的理想英雄。

Read More