雷鋒網(wǎng)編者按：近日，國內(nèi)外多家安全公司和機構(gòu)接連發(fā)布了針對 Memcached 超級DRDoS（Distributed Reflection Denial of Service）攻擊的預(yù)警，引發(fā)各方關(guān)注。雷鋒網(wǎng)此前也曾就其對 GitHub 發(fā)起的攻擊進行過報道，當(dāng)時攻擊的最大峰值流量達到了驚人的 1.35T。

要知道，在2月27號之前，Memcached的反射攻擊事件流量范圍不過幾百兆到500G。只有短短幾天，攻擊峰值的歷史紀(jì)錄就迅速被翻倍刷新，并且攻擊發(fā)生的頻率從一天十幾次到幾百次，呈現(xiàn)爆發(fā)式增長。

目前，Memcached分布情況如何？黑客是如何發(fā)起攻擊的？應(yīng)該如何檢查和預(yù)防？

以下為綠盟科技&電信云堤聯(lián)合投稿，雷鋒網(wǎng)編輯。

1、事件回顧

據(jù)監(jiān)控數(shù)據(jù)顯示，從本周一至周五（2月26日至3月2日 06:00）短短5天內(nèi)，全球就發(fā)生了 79 起利用 Memcached 協(xié)議的反射放大攻擊。日攻擊總流量最高達到 419TBytes。

 ▲Memcached反射放大攻擊日攻擊次數(shù)

 

▲Memcached反射放大攻擊日攻擊總流量

其中，針對我國境內(nèi)的 Memcached 反射放大攻擊就有68次，江蘇、浙江兩省被攻擊頻繁。針對我國境內(nèi)的攻擊，單次攻擊最高攻擊峰值達 505Gbps。攻擊持續(xù)時間最長的一次發(fā)生在3月1日，持續(xù)1.2小時，總攻擊流量達103.8TBytes。

 

▲中國各省份地區(qū)Memcached反射放大攻擊次數(shù)

從影響范圍來看，所有互聯(lián)網(wǎng)的業(yè)務(wù)都可能成為Memcached DRDoS的攻擊對象。一方面帶寬或業(yè)務(wù)遭受超大流量的攻擊，導(dǎo)致出口帶寬完全被占滿，正常業(yè)務(wù)無法訪問；另一方面企業(yè)內(nèi)部的Memcached系統(tǒng)可能被不法分子利用成為攻擊幫兇。

2、攻擊分析

2.1 什么是Memcached？

Memcached是一個高性能的開源分布式內(nèi)存對象緩存系統(tǒng)，主要用于提高Web應(yīng)用的擴展性，能夠有效解決大數(shù)據(jù)緩存的很多問題，在全球范圍內(nèi)都有廣泛使用。Memcached基于內(nèi)存的key-value存儲小塊數(shù)據(jù)，并使用該數(shù)據(jù)完成數(shù)據(jù)庫調(diào)用、API調(diào)用或頁面渲染等。攻擊者正是利用 key-value 這項功能構(gòu)造了大流量的Memcached反射攻擊。

2.2 Memcached分布情況

最新統(tǒng)計顯示，全球總共有3790個Memcached服務(wù)器被利用參與到這些Memcached反射放大攻擊。這些被利用反射源遍布于全球96個國家或地區(qū)范圍內(nèi)。其中，美國就占了全球的1/4。

 

分布在中國地區(qū)的被利用的Memcached服務(wù)器位列第二位，占比12.7%。在中國各省份占比如下所示，廣東、北京、浙江為TOP3。

據(jù)綠盟科技威脅情報中心（NSFOCUS Network Threat Intelligence，簡稱NTI）的統(tǒng)計結(jié)果顯示，全球范圍內(nèi)存在被利用風(fēng)險的Memcached服務(wù)器為104,506臺。分布情況如下： 

從地理分布來看，美國可被利用的Memcached服務(wù)器最多，其次是中國。

這些活躍的Memcached反射器為構(gòu)造超級DRDoS攻擊提供了有力的先決條件。如果不及時修復(fù)治理，預(yù)計基于Memcached反射攻擊的攻擊事件會繼續(xù)增加，后果不敢想象。

2.3 Memcached如何形成DRDoS攻擊？

Memcached反射攻擊的構(gòu)造過程分為如下3步；

1. 收集反射器IP

通過NTI/Shodan等情報引擎找到開放的Memcached系統(tǒng)，獲取系統(tǒng)IP；

2. 配置反射器

利用開放的Memcached系統(tǒng)作為反射器，并修改key-value配置實現(xiàn)較大的存儲容量，為構(gòu)造反射放大攻擊進行準(zhǔn)備；

3. 發(fā)起反射攻擊

攻擊者將自身IP偽造成攻擊的目標(biāo)地址，并向Memcached反射器發(fā)送請求讀取Memcached在key-value中存儲的信息。Memcached在收到請求后向偽造的虛假源IP進行回復(fù)，從而形成反射。

 

▲Memcached反射攻擊示意圖

當(dāng)大量Memcached被同時利用，并用同一個偽造源IP進行回復(fù)，就輕而易舉地形成了針對這個偽造源（受害者）的大流量DRDoS攻擊。

2.4 Memcached的攻擊特征

DRDoS（Distributed Reflective Denial-of-Service）是DDoS攻擊分類中的一種。

此前各類安全廠商監(jiān)測到的DRDoS攻擊主要是SSDP反射、DNS反射、NTP反射等。下表（引自US-Cert）詳細列舉了各類反射攻擊的放大倍數(shù)。

僅從放大倍數(shù)來看，Memcached反射攻擊的危害程度遠遠高于其他反射攻擊類型，US-Cert提供的數(shù)據(jù)顯示它能夠?qū)崿F(xiàn)51,000倍的放大效果。

與其他反射攻擊相比，Memcached如何實現(xiàn)這么多倍的放大效果呢？其中的重要原因就是Memcached的key-value功能。前文提到key-value的作用是決定存儲容量的大小，正常情況下key-value的值通常不超過幾千字節(jié)。當(dāng)Memcached被攻擊者利用作為反射器時，key-value的值經(jīng)過修改可以達到100萬字節(jié)以上。

攻擊過程：

第一步，通過命令修改Memcached上的key-value參數(shù)，以提升放大倍數(shù)。

send = "set t 0 900 1048501" + "\r\n" + ‘a(chǎn)’ * 1048501 + "\r\n"

socket.sendall(send)

經(jīng)驗證，key-value的最大值為1048501。

第二步通過get命令讀取Memcached的存儲信息，并反射到目標(biāo)IP。

get="\x00\x00\x00\x00\x00\x01\x00\x00get t\r\n"

socket.sendto(get, (host, 11211))

形成的攻擊報文如下： 

觸發(fā)Memcached反射攻擊的請求報文最小為15字節(jié)，包含為8字節(jié)（RFC規(guī)定字段）+3字節(jié) (get)+1（空格）+最小為1字節(jié)（鍵的名稱 ）+2字節(jié) (\r\n)，而返回的請求數(shù)據(jù)達到105萬字節(jié)，理論上可放大到接近7萬倍。如此強悍的放大攻擊，與其他各類DRDoS攻擊形成斷崖式的差距對比。

3、Memcached攻擊防護加固建議

3.1 Memcached系統(tǒng)自查建議

攻擊的形成過程為我們提供了一個很好的預(yù)警思路，安全產(chǎn)品可針對Memcached的key-value配置進行檢測，在Memcached系統(tǒng)被利用成為攻擊源之前就進行攔截。檢測流程如下：

（1）檢測目的端口為11211的TCP或UDP報文（確保是Memcached服務(wù)器）；

（2）檢測報文是否為set命令（set命令格式參見附錄），如果是則執(zhí)行（3），否則結(jié)束檢測；

（3）檢測set命令后面的bytes字段值（如下圖中標(biāo)注的1048501），是否超過設(shè)定的閾值，如果是，則可以懷疑該報文存在異常；

（4）檢測到該類異?？刂茍笪暮?，可有如下兩種處理方式：

a．告警并監(jiān)控。為了防止被誤殺，建議同時監(jiān)控該Memcached服務(wù)器后面的流量變化來進一步判斷該服務(wù)器是否被用做了反射器。

b. 直接丟棄。如果有足夠的證據(jù)表明該記錄是惡意添加的，直接丟棄可以保證服務(wù)器不被當(dāng)做反射器。

自查舉例：假設(shè)下圖是公網(wǎng)的一臺Memcached服務(wù)器上獲取的數(shù)據(jù)。

 

通常情況下，多數(shù)value的大小都在64K以內(nèi)，而最后一條的達到了將近1M，與其他記錄有很明顯的差別，基本上可以判斷該記錄存在問題，該服務(wù)器可能已經(jīng)被利用。

3.2 Memcached攻擊流量清洗

面對如此大規(guī)模、大范圍的DDoS攻擊威脅，所有網(wǎng)絡(luò)安全節(jié)點都應(yīng)該加強防范，從攻擊防護和外發(fā)清洗兩方面入手，充分保障基礎(chǔ)設(shè)施和業(yè)務(wù)流量的安全。針對此攻擊，我們提供如下防護建議：

·運營商。

運營商及IDC處于網(wǎng)絡(luò)上游，擁有強大的帶寬資源，是攻擊最直接的受害者，也是防護的第一道屏障。運營商能夠靈活控制路由策略和防護策略進行快速過濾。

1）在邊界配置UDP訪問控制規(guī)則，將源端口為11211的報文進行阻斷或限速；

2）在邊界配置BGP FlowSpec策略，對源端口為11211的UDP流量進行阻斷或限速；

3）利用DDoS防護設(shè)備將源端口為11211的UDP流量進行阻斷或限速。

·企業(yè)用戶

企業(yè)用戶通常貼近服務(wù)終端，熟悉掌握自身業(yè)務(wù)流量特點，策略配置更加明確，靈活性強。

1）大型企業(yè)客戶可以采用和運營商相同的策略，在出口邊界設(shè)備配置UDP訪問控制規(guī)則或BGP FlowSpec策略對源端口為11211的UDP流量進行阻斷或限速；

2）不具備出口路由配置權(quán)限的企業(yè)客戶，可以在抗DDoS等設(shè)備上配置防護策略，對源端口為11211的UDP流量進行阻斷或限速；

3）考慮企業(yè)出口帶寬可能被打滿的情況，企業(yè)客戶可通過運營商或云清洗服務(wù)在上游執(zhí)行清洗策略，策略內(nèi)容同樣是對源端口為11211的UDP流量進行阻斷或限速。

3.3 Memcached系統(tǒng)防護加固

對于正在使用Memcached系統(tǒng)的用戶，為了避免被攻擊者利用，使Memcached成為攻擊源，對外發(fā)起攻擊流量，影響自身系統(tǒng)性能，我們提供如下幾點建議。

1）在邊界網(wǎng)絡(luò)設(shè)備上配置URPF策略，過濾外發(fā)的虛假源IP報文；

2）在Memcached系統(tǒng)前進行深度檢測，直接過濾報文特征中set key 0 900 64000的第三個字段過大的數(shù)據(jù)包，這樣做可以在Memcached系統(tǒng)被修改利用成為攻擊源前進行攔截；

3）對Memcached服務(wù)進行安全檢查，查看Memcached服務(wù)是否監(jiān)聽UDP端口。查找Memcached進程，查看是否有-l參數(shù)，如果沒有則默認為0.0.0.0。若Memcached服務(wù)不需要監(jiān)聽UDP，禁用UDP。詳情參考Memcached官方文檔：

https://github.com/memcached/memcached/wiki/ConfiguringServer#udp

附錄

set 命令的基本語法格式如下：

set key flags exptime bytes [noreply]

value

參數(shù)說明如下：

key：鍵值 key-value 結(jié)構(gòu)中的 key，用于查找緩存值。

flags：包括鍵值對的整型參數(shù)，客戶機使用它存儲關(guān)于鍵值對的額外信息 。

exptime：在緩存中保存鍵值對的時間長度（以秒為單位，0 表示永遠）

bytes：在緩存中存儲的字節(jié)數(shù)

noreply（可選）： 該參數(shù)告知服務(wù)器不需要返回數(shù)據(jù)

value：存儲的值（始終位于第二行）（可直接理解為key-value結(jié)構(gòu)中的value）

相關(guān)文章：GitHub 遭遇有史以來最嚴(yán)重DDoS攻擊，黑客想玩票大的？

此文為綠盟科技&電信云堤聯(lián)合投稿，雷鋒網(wǎng)編輯。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。