[警报]使用Memcache作为DRDoS射线放大器,DDo_亚博网页版登陆界面

产品中心 | 2021-02-16
本文摘要:今天,360网络安全电话中心(360 Cert)受到警告,将Memcache用作DRDoS放大器,监视缩放的超大型DDoS反击。

亚博网页版登陆界面

今天,360网络安全电话中心(360 Cert)受到警告,将Memcache用作DRDoS放大器,监视缩放的超大型DDoS反击。这种光线DDoS反击需要5万倍以上的放大系数,犯罪者可以使用Memcache服务器,通过非常少的计算资源启动超大规模DDoS,360 Cert预计,目前全球多个云服务器正在反击,今后将会发生更多利用Memcached展开DRDoS的事件。实际上,2017年6月360信息安全部0kee Team找到了利用Memcache缩放的反击技术,并于2017年11月通过PoC 2017安全会议对安全社区进行了警告。

据360 CERT QUAKE预测测量,目前独自开放的Memcache存储系统规模在10万韩元左右,可能会受到这种反击的影响。从国家生产来看,对外开放主机数量排在美国第一,中国第二,但不受影响的数量被忽视。

DDoS反击的目的是通过大量合法敦促,闲置大量网络资源,超过网络中断。例如,长期营业的商店,充斥着很多冒充的顾客,不能为确定的顾客服务。这家商店就是DDoS反击的受害者。(大卫亚设,Northern Exposure(美国电视连续剧),成功)360 CERT团队使用Memcache作为DRDoS放大器进行缩放的DDoS反击,使用Memcached协议将受害者IP地址较多的UDP数据包发送给放大主机,然后主机缩放配置分布式拒绝服务反击,配置DRDoS光线。

据悉,在最近发现的利用Memcache缩放的反击事件中,攻击者向端口11211上的Memcache服务器发送了小字节催收。由于UDP协议不能正确继续,Memcache服务器不要求类似或更小的部队,但在某些情况下,它不要求部队要求比总数多1000倍。

亚博网页版登陆界面

也就是说,攻击者可以购买Memcache服务器,将大规模的召唤发送给受害者。Memcache逆袭放大系数可能会高出约50,000倍。

这种类型的DDoS逆袭称为“光线DDoS”或“光线DDoS”。数据包缩放的倍数称为DDoS反击的“放大系数”。目前稀有光线流DDoS反击的放大系数通常在20到100之间。

放大系数达到1000的光光型DDoS反击本身是极其罕见的。此次5万倍放大系数实际应用于DDoS反击战场。

亚博网页版登陆界面

这是DDoS历史上首次出现的超排水DDOS反击事件,可以说是核弹级别的反击手法。实践证明,此次Memcrashed技术的特点之一————的光倍数小,可以顺畅超过5万倍,此次反击事件光的比特率充足,主要来自IDC机房服务器。

最近一周,利用Memcache的反击事件迅速下降,反击频率从每天50起骤降到每天300~400起,实际上,在目前的情况下,反击速度已经达到0.5Tbps。360Cert回应说,更大的反击事例可能没有公开报道。预计今后360安全组不会经常发生利用Memcached进一步开展DRDoS的事件,如果此次反击效果被其他DDoS组模仿,则不会有更严重的反击。因此,360安全专家向Memcache用户提供1 .提出了类似的市场要求,允许Memcache的用户将服务置于可信域中,在有外联网时不要接收0.0.0.0,设置ACL或添加到安全组。

2.为了防止机器扫描、ssrf等反击,请更改memcache配置文件侦听端口。3.升级到最新版本的memcache,并在SASL中设置密码以扩展权限控制。在网络层防御方面,360安全专家回应说,目前包括NTT在内的多个外国ISP已经在向UDP11211加速。

亚博网页版登陆界面

另一方面,安全专家回应说,应该禁止互联网服务提供商继续在互联网上愚弄IP。IP愚弄DRDoS的根本原因。具体措施可以参考BCP38。安全专家还建议,ISP不应该允许BGP flowspec进入车站UDP11211的流量,从而减少大型DRDoS反击时的交通堵塞。

详细报告地址:[警报]使用Memcache作为DRDoS射线放大器,DDoS反击-360CERT(请求切断链接)原文,宣布禁止许可。下面,我们来听一下关于刊登的注意事项。


本文关键词:亚博网页版登陆界面

本文来源:亚博网页版登陆界面-www.bebebackpacker.com