日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

DRDoS(memcache漏洞导致的反射型分布式拒绝服务攻击)

發布時間:2023/12/4 编程问答 28 豆豆
生活随笔 收集整理的這篇文章主要介紹了 DRDoS(memcache漏洞导致的反射型分布式拒绝服务攻击) 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

一、DDoS基礎

見博文:DDoS攻擊與防御

二、Memcached 反射DDOS攻擊原理

反射DDOS是發送大量帶有被害者IP地址的請求給反射服務器,反射服務器對IP地址源做出大量回應,形成拒絕服務攻擊。CLOUDFLARE的這張圖很好的解釋了DDOS反射攻擊過程:


UDP反射放大攻擊需要滿足的基本條件:

  • 攻擊者,需要能偽造IP,并發送大量偽造IP的請求給反射服務器。

  • 反射服務器,上面需要運行著容易放大反射攻擊的服務。

  • 反射服務器的響應包最好遠遠大于請求包。

  • 反射服務器對應的協議或服務在互聯網上有一定的使用量。

    • 而Memcached提供的基于UDP協議的服務正好滿足上訴的UDP反射放大攻擊的各種條件

  • 從協議看,Memcached支持UDP。

  • Memcached大部分是作為企業應用的組件,往往具有很高的上傳帶寬。

  • Memcached不需要認證就可以隨意交互。

  • 很多用戶編譯安裝時,錯誤的監聽了0.0.0.0,且未設置iptables或云安全組,這使得攻擊者可以自由訪問這些服務,從而進行UDP反射攻擊。

    • 本次事件中,攻擊者發送大量帶有被害者IP地址的UDP數據包給Memcached服務器,Memcached服務器對偽造的IP地址源做出大量回應(Memcached系統支持最大鍵值單數據對1M存儲),形成分布式拒絕服務攻擊。

    本次攻擊的特點:

  • memcache放大倍數高,最高可以達到51000倍左右。

  • 可被利用的memcache服務器(反射服務器)數量很多,而且這些服務器網絡擁有較高的帶寬資源。

    • 下面這張us-cert的表詳細的給出了各類反射攻擊的放大倍數:

    僅從放大倍數看,memcached 反射DDOS危害要高于其他類型的反射DDOS。

    Memcached DRDOS攻擊流程

  • 收集反射器,掃描端口和服務,獲取不需要認證的Memcache。

  • 上傳指定數據到遠程服務器Memcached上。

  • 攻擊者將自身IP偽造成攻擊的目標IP地址,向Memcached反射服務器發送請求讀取在Memcached中存儲的數據。

  • Memcached在收到請求后,向偽造的IP回復放大了幾萬倍的數據包,造成反射DDOS攻擊。

    • 3、Memcached反射DDOS防御

    3.1 Memcached攻擊流量清洗

    運營商處在邊界配置UDP訪問控制規則和BGP FlowSpec策略,將源端口為11211的流量進行阻斷或限速。

    不具備路由權限的企業客客戶,可以在抗DDOS設備上配置防護策略,同樣可以對端口為11211的UDP流量進行阻斷和限速。

    3.2 Memcached系統防護加固

    默認情況下Memcached沒有配置任何認證鑒權措施,對所有網絡可達的客戶端可訪問。為了避免Memcached系統被攻擊者利用,各開發者和memcache管理者,需要對Memcached服務進行安全檢查,進行一些加固。

    3.2.1 配置監聽地址僅限本地回環地址

    在 memcached的配置文件,或者啟動參數中,使用”-l 127.0.0.1”指定監聽的 ip 地址。

    3.2.2 配置防火墻 ACL 策略

    使用 iptables 等手段控制 memcached 的端口ACL策略,示例如下:

    僅限來自指定 IP 段的訪問

    iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 --dport 11211 -j ACCEPT

    屏蔽任何其他 IP 對 Memcached 端口的訪問

    iptables -t filter -A INPUT -p tcp --dport 11211 -j DROP
  • 配置認證鑒權策略
    Memcached 1.4.3 及之后的版本,如果編譯時開啟了 –enable-sasl,則可以使用 sasl 配置認證。

    • 安裝

    yum install cyrus-sasl

    設置用于 Memcached 的 SASL 用戶名密碼,運行以下命令,指定需要的用戶名,然后輸入兩次密碼即可:

    saslpasswd2 -a memcached -c [customized username]

    3.3 追溯處置措施

    這種反射DDOS攻擊源追蹤難點在于準確定位,在被攻擊端,看到的IP都是真實的IP,都是被利用的反射放大節點服務器。和直接攻擊不一樣,因為有反射的因素,這時候看到的真實攻擊IP不是真正的發起原始流量的IP。下面結合以往追溯DDOS攻擊的經驗給出幾點建議:

    反射源上找線索
    通過memcached蜜罐監測,看初期的信息采集階段(比如找可用度反射放大源)很可能用的就是自己的IP,各種小動作會露出馬腳,再多個維度關聯,有時也能找出攻擊者。

    失陷主機上找線索
    在一次大流量過后,訪問量高的IP都可以列為可疑目標,重點排查,尤其要注意篩選ICMP數據包,一般情況下攻擊者有個習慣:就是在攻擊的過程中和攻擊結束都會用本機ping目標服務器,查看目標的存活性。如果運氣好,能找出攻擊者。

    運營商配合定位攻擊者
    通過memcached蜜罐的監測,根據以上測試過程中得出的Memcached DRDOS攻擊的流量特征,和運營商配合,看哪些子網有非自己段的源IP流量出來,然后再做端的流量監測,比如HIDS,即為可以找出可疑IP。

    總結

    以上是生活随笔為你收集整理的DRDoS(memcache漏洞导致的反射型分布式拒绝服务攻击)的全部內容,希望文章能夠幫你解決所遇到的問題。

    如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。