一个关注web安全-热爱黑帽技术-热衷于黑帽SEO的个人技术博客-为大家分享最前沿的黑帽资源


作者:无良小编2018-3-5 22:49分类: 网络安全 标签: udp Memcache ddos

网络犯罪分子已经找到了一种滥用广泛使用的 Memcached 服务器方法,以发起超过 51,000 次强大的 DDoS 攻击,而这些攻击的强度可能会导致主要网站和互联网基础设施的崩溃。

最近几天,Cloudflare,Arbor Networks 和中国安全公司 Qihoo 360 的安全研究人员发现,黑客现在正在滥用 “Memcached”,以前所未有的 5.12 万倍的速度放大 DDoS 攻击。

Memcached 是一个流行的开源且易于部署的分布式缓存系统,它允许将对象存储在内存中,并且设计为可与大量开放式连接一起使用。Memcached 服务器通过 TCP 或 UDP 端口 11211 运行。
Memcached 应用程序旨在通过减少数据库上的压力来加速动态 Web 应用程序,这有助于管理员提高性能并扩展 Web 应用程序。它被成千上万的网站广泛使用,包括 Facebook,Flickr,Twitter,Reddit,YouTube 和 Github。

被 Cloudflare 称为 Memcrashed,该攻击明显滥用未启用 UDP 的未受保护的 Memcached 服务器,以便以原先的强度提供 51,200 倍的 DDoS 攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcached 应用程序旨在通过减少数据库上的压力来加速动态 Web 应用程序,这有助于管理员提高性能并扩展 Web 应用程序。它被成千上万的网站广泛使用,包括 Facebook,Flickr,Twitter,Reddit,YouTube 和 Github。

被 Cloudflare 称为 Memcrashed,该攻击明显滥用未启用 UDP 的未受保护的 Memcached 服务器,以便以原先的强度提供 51,200 倍的 DDoS 攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcrashed DDoS 放大攻击如何工作?
像其他放大方法一样,黑客通过伪造的 IP 地址发送小的请求以获得更大的响应作为回报,Memcrashed 放大攻击也可以通过伪造的请求向端口 11211 上的目标服务器(易受攻击的 UDP 服务器)发送欺骗性 IP 地址匹配受害者的 IP。

据研究人员称,发送给易受攻击服务器的请求只需要几个字节即可触发数万倍的响应。

“15 个字节的请求触发了 134KB 的响应,这是 10,000 倍的放大因子!实际上,我们看到一个响应 750kB 的 15 字节请求结果(这是一个 51,200 倍放大),”Cloudflare 说。
据研究人员称,大多数 Memcached 服务器被滥用于放大 DDoS 攻击,都在 OVH,DigitalOcean,Sakura 和其他小型托管服务提供商处进行。

总结
1
如何发现?
用扫描软件自查一下,自己机器有没有开放 udp,tcp 11211 端口的,如果有说出明风险比较大,

如何解决,
防火墙上屏蔽 udp 11211 端口访问,

最终解决办法还是打补丁,或者是删除不用的应用。

转自:https://www.chabug.org/archives/260.html chabug安全
转载不标明出处的没有小鸡鸡哦!

温馨提示如有转载或引用以上内容之必要,敬请将本文链接作为出处标注,谢谢合作!

已有 1/466 人参与

评论:

丘八 2019-02-26 16:53
文章不错,非常喜欢

发表评论:

扫二维码进群