互聯(lián)網(wǎng)核戰(zhàn)爭打響？放大系數(shù)超5萬倍DDoS攻擊事件爆發(fā)

　　從一枚子彈變成一顆核彈，從一滴水變成汪洋大海，這種情況是否只存在于大家的想象之中?本周，360信息安全部0kee Team監(jiān)測到一種利用Memcache的超大規(guī)模DDoS攻擊事件，攻擊者只需向Memcache服務(wù)器發(fā)送小字節(jié)請求，就可誘騙服務(wù)器將數(shù)萬倍的響應(yīng)數(shù)據(jù)包發(fā)送給被攻擊者，形成DDoS攻擊。

　　360安全團(tuán)隊率先發(fā)出面向全球的重要預(yù)警，目前全球已有多個云服務(wù)器遭到攻擊，已知的最高流量接近1.4T，進(jìn)入集中爆發(fā)期，未來還可能持續(xù)出現(xiàn)更多該類型的DDoS攻擊事件。

　　反射式DDoS攻擊：“熊孩子”秒變“綠巨人”

　　據(jù)悉，這種利用Memcache服務(wù)器的反射型DDoS攻擊，早在2017年6月前后由360 0kee Team首先發(fā)現(xiàn)，并于同年11月 PoC 2017會議報告上，詳細(xì)介紹了其攻擊原理和潛在危害。

　　所謂DDoS攻擊是通過大量合法的請求占用大量網(wǎng)絡(luò)資源，最終致使網(wǎng)絡(luò)癱瘓。就好比在一個正常營業(yè)的商鋪，突然有一群“熊孩子”蜂擁而至，把整個店面占滿，想買東西的顧客擠進(jìn)不來，里面的商品也賣不出去，這時，商鋪就是受到了來自“熊孩子”的DDoS攻擊。

　　而Memcache作為分布式高速緩存系統(tǒng)，可幫助大型或者需要頻繁訪問數(shù)據(jù)庫的網(wǎng)站來提升訪問速度。此次核彈級的DDoS攻擊，正是網(wǎng)絡(luò)犯罪分子利用Memcache作為DRDoS放大器進(jìn)行放大的攻擊事件。

　　360安全團(tuán)隊介紹，近日發(fā)現(xiàn)的攻擊事件中，攻擊者首先向Memcache服務(wù)器發(fā)送小字節(jié)請求，并要求Memcache服務(wù)器將作出回應(yīng)的數(shù)據(jù)包發(fā)給指定IP(即受害者);Memcache服務(wù)器接收到請求后，由于 UDP協(xié)議并未正確執(zhí)行，產(chǎn)生了數(shù)萬倍大小的回應(yīng)，并將這一巨大的回應(yīng)數(shù)據(jù)包發(fā)送給受害者;此時受害者就遭遇了“人在家中坐，禍從天上來”的局面。也就是說攻擊者能誘騙 Memcache服務(wù)器將過大規(guī)模的響應(yīng)包發(fā)送給受害者。

　　這樣看來，本次攻擊事件還不完全是單純的“熊孩子”式的攻擊，而像是攻擊者釋放出了成千上萬的“熊孩子”，并讓他們先去了 Memcache服務(wù)器。在這里，他們突然被放大無數(shù)倍，變成了成千上萬個“綠巨人”，然后再浩浩蕩蕩奔向商鋪(受害者)。這時，受攻擊的商鋪別說正常營業(yè)了，儼然已經(jīng)崩潰、癱瘓。

　　這種間接 DDoS攻擊就是“反射式DDoS攻擊”，而其中服務(wù)器響應(yīng)數(shù)據(jù)包被放大的次數(shù)則被稱為DDoS攻擊的“放大系數(shù)”。360安全團(tuán)隊指出，這次攻擊具有放大倍數(shù)高、影響服務(wù)器范圍廣兩大特點。

　　放大系數(shù)超5萬倍堪稱“核彈級攻擊”

　　目前，該類型的DDoS攻擊放大倍數(shù)可達(dá)到5.12萬倍，且Memcache服務(wù)器數(shù)量較多，在2017年11月時，估算全球約有六萬臺服務(wù)器可以被利用，并且這些服務(wù)器往往擁有較高的帶寬資源。

　　最近一周以來，利用Memcache放大的DDoS攻擊事件爆發(fā)式增長，攻擊頻率從每天不足50件增加到每天300至400件，360安全團(tuán)隊表示，可能有更大的攻擊案例并未被公開報道。

　　針對本次史上罕見的DDoS攻擊事件，360安全團(tuán)隊在發(fā)布預(yù)警的同時，對Memcache使用者給出了以下三點建議：

　　1.Memcache的用戶建議將服務(wù)放置于可信域內(nèi)，有外網(wǎng)時不要監(jiān)聽 0.0.0.0，有特殊需求可以設(shè)置acl或者添加安全組。

　　2.為預(yù)防機(jī)器 掃描和ssrf等攻擊，修改memcache默認(rèn)監(jiān)聽端口。

　　3.升級到最新版本的memcache，并且使用SASL設(shè)置密碼來進(jìn)行權(quán)限控制。

　　此外，360安全團(tuán)隊還發(fā)布了本次DDoS攻擊的詳細(xì)技術(shù)報告，并表示接下來的一段時間內(nèi)，或?qū)⒈l(fā)更多利用Memcached進(jìn)行DRDoS的事件，如果本次攻擊效果被其他DDoS團(tuán)隊所效仿，將帶來難以預(yù)計的嚴(yán)重后果，對此，360安全團(tuán)隊將持續(xù)監(jiān)控本次攻擊事件，并及時做出響應(yīng)措施。