DRDoS(memcache漏洞导致的反射型分布式拒绝服务攻击)

一、DDoS基础

见博文:DDoS攻击与防御

二、Memcached 反射DDOS攻击原理

反射DDOS是发送大量带有被害者IP地址的请求给反射服务器,反射服务器对IP地址源做出大量回应,形成拒绝服务攻击。CLOUDFLARE的这张图很好的解释了DDOS反射攻击过程:

在这里插入图片描述
UDP反射放大攻击需要满足的基本条件:

  1. 攻击者,需要能伪造IP,并发送大量伪造IP的请求给反射服务器。

  2. 反射服务器,上面需要运行着容易放大反射攻击的服务。

  3. 反射服务器的响应包最好远远大于请求包。

  4. 反射服务器对应的协议或服务在互联网上有一定的使用量。

而Memcached提供的基于UDP协议的服务正好满足上诉的UDP反射放大攻击的各种条件

  1. 从协议看,Memcached支持UDP。

  2. Memcached大部分是作为企业应用的组件,往往具有很高的上传带宽。

  3. Memcached不需要认证就可以随意交互。

  4. 很多用户编译安装时,错误的监听了0.0.0.0,且未设置iptables或云安全组,这使得攻击者可以自由访问这些服务,从而进行UDP反射攻击。

本次事件中,攻击者发送大量带有被害者IP地址的UDP数据包给Memcached服务器,Memcached服务器对伪造的IP地址源做出大量回应(Memcached系统支持最大键值单数据对1M存储),形成分布式拒绝服务攻击。

本次攻击的特点:

  1. memcache放大倍数高,最高可以达到51000倍左右。

  2. 可被利用的memcache服务器(反射服务器)数量很多,而且这些服务器网络拥有较高的带宽资源。

下面这张us-cert的表详细的给出了各类反射攻击的放大倍数:

在这里插入图片描述

仅从放大倍数看,memcached 反射DDOS危害要高于其他类型的反射DDOS。

Memcached DRDOS攻击流程

  1. 收集反射器,扫描端口和服务,获取不需要认证的Memcache。

  2. 上传指定数据到远程服务器Memcached上。

  3. 攻击者将自身IP伪造成攻击的目标IP地址,向Memcached反射服务器发送请求读取在Memcached中存储的数据。

  4. Memcached在收到请求后,向伪造的IP回复放大了几万倍的数据包,造成反射DDOS攻击。

3、Memcached反射DDOS防御

3.1 Memcached攻击流量清洗

运营商处在边界配置UDP访问控制规则和BGP FlowSpec策略,将源端口为11211的流量进行阻断或限速。

不具备路由权限的企业客客户,可以在抗DDOS设备上配置防护策略,同样可以对端口为11211的UDP流量进行阻断和限速。

3.2 Memcached系统防护加固

默认情况下Memcached没有配置任何认证鉴权措施,对所有网络可达的客户端可访问。为了避免Memcached系统被攻击者利用,各开发者和memcache管理者,需要对Memcached服务进行安全检查,进行一些加固。

3.2.1 配置监听地址仅限本地回环地址

在 memcached的配置文件,或者启动参数中,使用”-l 127.0.0.1”指定监听的 ip 地址。
在这里插入图片描述

3.2.2 配置防火墙 ACL 策略

使用 iptables 等手段控制 memcached 的端口ACL策略,示例如下:

仅限来自指定 IP 段的访问

iptables -t filter -A INPUT -p tcp -s 192.168.1.0/24 --dport 11211 -j ACCEPT

屏蔽任何其他 IP 对 Memcached 端口的访问

iptables -t filter -A INPUT -p tcp --dport 11211 -j DROP
  1. 配置认证鉴权策略
    Memcached 1.4.3 及之后的版本,如果编译时开启了 –enable-sasl,则可以使用 sasl 配置认证。

安装

yum install cyrus-sasl

设置用于 Memcached 的 SASL 用户名密码,运行以下命令,指定需要的用户名,然后输入两次密码即可:

saslpasswd2 -a memcached -c [customized username]

3.3 追溯处置措施

这种反射DDOS攻击源追踪难点在于准确定位,在被攻击端,看到的IP都是真实的IP,都是被利用的反射放大节点服务器。和直接攻击不一样,因为有反射的因素,这时候看到的真实攻击IP不是真正的发起原始流量的IP。下面结合以往追溯DDOS攻击的经验给出几点建议:

反射源上找线索
通过memcached蜜罐监测,看初期的信息采集阶段(比如找可用度反射放大源)很可能用的就是自己的IP,各种小动作会露出马脚,再多个维度关联,有时也能找出攻击者。

失陷主机上找线索
在一次大流量过后,访问量高的IP都可以列为可疑目标,重点排查,尤其要注意筛选ICMP数据包,一般情况下攻击者有个习惯:就是在攻击的过程中和攻击结束都会用本机ping目标服务器,查看目标的存活性。如果运气好,能找出攻击者。

运营商配合定位攻击者
通过memcached蜜罐的监测,根据以上测试过程中得出的Memcached DRDOS攻击的流量特征,和运营商配合,看哪些子网有非自己段的源IP流量出来,然后再做端的流量监测,比如HIDS,即为可以找出可疑IP。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/313510.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

田牌魔术 | .NET Core 3.0 + Azure 远程点亮树莓派上的一盏灯

田牌魔术 | .NET Core 3.0 + Azure 远程点亮树莓派上的一盏灯

点击上方蓝字关注“汪宇杰博客”导语3年前,我写过一篇《Windows 10 IoT Core Azure 远程控制LED》,实现了《生活大爆炸》中的注孤生实验,让信号从家里出发,绕地球转一圈,经过微软美国数据中心,返回家里点亮…
阅读更多...
使用Hash碰撞进行DoS攻击

使用Hash碰撞进行DoS攻击

一、哈希表碰撞攻击的基本原理 哈希表是一种查找效率极高的数据结构,很多语言都在内部实现了哈希表。PHP中的哈希表是一种极为重要的数据结构,不但用于表示Array数据类型,还在Zend虚拟机内部用于存储上下文环境信息(执行上下文的…
阅读更多...
EF Core 实现读写分离的最佳方案

EF Core 实现读写分离的最佳方案

前言公司之前使用Ado.net和Dapper进行数据访问层的操作, 进行读写分离也比较简单, 只要使用对应的数据库连接字符串即可. 而最近要迁移到新系统中,新系统使用.net core和EF Core进行数据访问. 所以趁着国庆假期拿出一两天时间研究了一下如何EF Core进行读写分离.思路根据园子里…
阅读更多...
SSL工作原理

SSL工作原理

本文介绍了SSL原理、安全机制、工作过程和典型网络应用。 缩略语列表 一、概述 1.1 产生背景 基于万维网的电子商务和网上银行等新兴应用,极大地方便了人们的日常生活。受到人们的青睐。 因为这些应用都须要在网络上进行在线交易,它们对网络通信的…
阅读更多...
在 ASP.NET Core 项目中使用 AutoMapper 进行实体映射

在 ASP.NET Core 项目中使用 AutoMapper 进行实体映射

一、前言在实际项目开发过程中&#xff0c;我们使用到的各种 ORM 组件都可以很便捷的将我们获取到的数据绑定到对应的 List<T> 集合中&#xff0c;因为我们最终想要在页面上展示的数据与数据库实体类之间可能存在很大的差异&#xff0c;所以这里更常见的方法是去创建一些…
阅读更多...
.NET开发者必须学习.NET Core

.NET开发者必须学习.NET Core

很多的.NET开发者在接触.Net Core之前&#xff0c;对于linux系统一点也不了解&#xff0c;也未曾有过主动去学习的念头。在接触了.Net Core之后才会慢慢学习linux相关知识&#xff0c;很多同学想转Java&#xff0c;这个很扎心&#xff0c;你有很好的条件转向.NET Core为啥要转J…
阅读更多...
Java事务管理

Java事务管理

事务的ACID属性&#xff1a;原子性(Atomicity )、一致性( Consistency )、隔离性或独立性( Isolation)和持久性(Durabilily) ACID 特性 A&#xff08;原子性&#xff09;事务的原子操作单元&#xff0c;对数据的修改&#xff0c;要么全部执行&#xff0c;要么全部不执行&#x…
阅读更多...
如何提高QnA maker机器人训练中文语义理解的能力

如何提高QnA maker机器人训练中文语义理解的能力

这是一个常见的问题&#xff0c;在人工智能的世界里面&#xff0c;图像理解、语言及语义理解、数据理解是三个核心领域。而关于语言及语义理解&#xff0c;又与具体的语言和文字密切相关。目前来说&#xff0c;大家都是用机器学习去训练模型&#xff0c;如果要更好的理解中文&a…
阅读更多...
分布式数据一致性(数据多份副本一致性)

分布式数据一致性(数据多份副本一致性)

前言 分布式数据库的数据一致性管理是其最重要的内核技术之一&#xff0c;也是保证分布式数据库满足数据库最基本的ACID特性中的 “一致性”(Consistency)的保障。在分布式技术发展下&#xff0c;数据一致性的解决方法和技术也在不断的演进&#xff0c;本文就以分布式数据库作…
阅读更多...
Bumblebee微服务网关之请求统一验证

Bumblebee微服务网关之请求统一验证

对于微服务网关来说&#xff0c;统一请求验证是一个比较重要和常用的功能&#xff0c;通过网关验证后台服务就无须关注请求验证&#xff1b;对于多语言平台的服务而言制定验证方式和变更验证配置都是一件比较繁琐和工作量大的事情。Bumblebee提供JWT验证插件&#xff0c;只需要…
阅读更多...
分布式事务基础

分布式事务基础

这一篇主要介绍分布式事务的基础知识&#xff0c;一些基础的算法、定理、简单应用等。下篇文章介绍互联网业界的具体实践方案。 1、CAP定理 CAP定理是由加州大学伯克利分校Eric Brewer教授提出来的&#xff0c;其核心思想是任何基于网络的数据共享&#xff0c;系统最多只能满…
阅读更多...
支持前端、后台业务代码扩展的快速开发框架

支持前端、后台业务代码扩展的快速开发框架

框架采用.NetCore Vue前后端分离&#xff0c;并且支持前端、后台代码业务动态扩展&#xff0c;框架内置了一套有着20多种属性配置的代码生成器&#xff0c;可灵活配置生成的代码&#xff0c;代码生成器界面配置完成即可生成单表/主从表的增、删、改、查、导入、导出、上传、审…
阅读更多...
保证分布式系统数据一致性的6种方案

保证分布式系统数据一致性的6种方案

分布式系统数据一致性的基础知识&#xff0c;传送门 1、问题的起源 在电商等业务中&#xff0c;系统一般由多个独立的服务组成&#xff0c;如何解决分布式调用时候数据的一致性&#xff1f; 具体业务场景如下&#xff0c;比如一个业务操作&#xff0c;如果同时调用服务 A、B…
阅读更多...
15年来这8门编程语言位置十分稳定,C#从低谷开始爬升

15年来这8门编程语言位置十分稳定,C#从低谷开始爬升

TIOBE 编程语言排行榜 10 月份的榜单已公布&#xff0c;这期的标题比较有趣 —— “Top 8 of the TIOBE index quite stable for the last 15 years”&#xff0c;意思就是排名前 8 的编程语言在这 15 年里一直都十分稳定。有多稳定呢&#xff1f;根据 TIOBE 统计的数据&#x…
阅读更多...
Dubbo相关

Dubbo相关

mark http://ifeve.com/dubbo-learn-book/ http://dubbo.apache.org/zh-cn/ Dubbo架构图 框架分层架构中&#xff0c;各个层次的设计要点&#xff1a; 服务接口层&#xff08;Service&#xff09;&#xff1a;该层是与实际业务逻辑相关的&#xff0c;根据服务提供方和服务消费…
阅读更多...
同时支持EF+Dapper的混合仓储,助你快速搭建数据访问层

同时支持EF+Dapper的混合仓储,助你快速搭建数据访问层

背景17年开始&#xff0c;公司开始向DotNet Core转型&#xff0c;面对ORM工具的选型&#xff0c;当时围绕Dapper和EF发生了激烈的讨论。项目团队更加关注快速交付&#xff0c;他们主张使用EF这种能快速开发的ORM工具&#xff1b;而在线业务团队对性能有更高的要求&#xff0c;他…
阅读更多...
Dubbo——增强SPI的实现

Dubbo——增强SPI的实现

一、前言 在Duboo剖析-整体架构分析中介绍了dubbo中除了Service 和 Config 层为 API外&#xff0c;其他各层均为SPI&#xff0c;为SPI意味着下面各层都是组件化可以被替换的&#xff0c;这也是dubbo比较好的一点。 二、JDK中标准SPI JDK 中的 SPI&#xff08;Service Provider…
阅读更多...
【 .NET Core 3.0 】框架之二 || 后端项目搭建

【 .NET Core 3.0 】框架之二 || 后端项目搭建

前言至于为什么要搭建.Net Core 平台&#xff0c;这个网上的解释以及铺天盖地&#xff0c;想了想&#xff0c;还是感觉重要的一点&#xff0c;跨平台&#xff0c;嗯&#xff01;没错&#xff0c;而且比.Net 更容易搭建&#xff0c;速度也更快&#xff0c;所有的包均由Nuget提供…
阅读更多...
怎样打造一个分布式数据库

怎样打造一个分布式数据库

本文来自&#xff1a;https://www.infoq.cn/article/how-to-build-a-distributed-database 文章写得很好&#xff0c;备份防丢失 在技术方面&#xff0c;我自己热衷于 Open Source&#xff0c;写了很多 Open Source 的东西&#xff0c;擅长的是 Infrastructure 领域。Infrastru…
阅读更多...
向net core 3.0进击——Swagger的改变

向net core 3.0进击——Swagger的改变

前言十一小长假在不知不觉间可都没了&#xff0c;在这个小尾巴的空隙&#xff0c;把这两天鼓捣的net core 3.0升级过程记录一下&#xff0c;首先还是根据之前的顺序一个个补充进来&#xff0c;先从Swagger的变化说起&#xff08;新建工程什么的不多说了&#xff0c;就是选择的时…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023