码迷,mamicode.com
首页 > 系统相关 > 详细

黑客教父郭盛华:Memcached放大DDOS攻击已是事实

时间:2018-04-02 16:00:53      阅读:190      评论:0      收藏:0      [点我收藏+]

标签:网络时间   原因   smon   log   客户   math   放大   cache   流量   

郭盛华,信息及黑客界传奇人物,被称之为“黑客教父”,绰号“华少”。现任黑客爱国组织东方联盟掌门人。

  黑客教父郭盛华说:网络黑客安全攻击已成为许多新闻栏目每周头条。最近的一个例子就是QIWI支付系统成功地缓解了480 Gbps memcached放大UDP DDoS攻击。 

  郭盛华表示:虽然我们在东方联盟网络实验室宁愿不听被攻击的新闻,但这种情况证明了我们为减轻此类攻击所做的所有准备。为了帮助其他人从我们的经验中学习,我想我会回顾一些关于放大攻击的事实,这样你们也就会在一天到来时做好准备。

技术分享图片 

事实#1:放大器一直是,未来也将是一个问题

 

  网络时间协议(NTP)是第一个被滥用(早在2013年)作为DDoS执行中的放大器的协议。随着成千上万的NTP服务器部署在整个网络中,这种特殊的向量对于寻求扩大其功能的攻击者来说非常有利。到2014年初,NTP取代了DNS作为主要反射/放大载体。Smurf和Fraggle攻击也使用DDoS的放大功能,并回溯到1999年。

 

  2015年,我们看到了大规模僵尸网络的崛起。他们使用基于UDP的放大技术,创造了有史以来观察到的最大容积DDoS攻击。由于Dyn和OVH在2016年的拒绝服务显示,数千个受损设备与NTP和DNS放大的组合使得这些攻击非常危险。这些僵尸网络的命令和控制(C&C)服务器的联合中断使得有可能避免僵尸网络接管网络的危险。

 

  随着许多替代放大器的普及,包括Portmap,SNMP,SSDP,Chargen,MSSQL和CLDAP,2016年发生了变化。这种趋势延续到2017年,许多技术娴熟的黑客瞄准各种协议漏洞,试图找到更多未知的媒介。

 

事实2:放大不会改变或演变。这只是发现的新漏洞

 

  早在2017年,东方联盟黑客安全团队的安全研究人员透露了memcached扩增载体(见下文介绍) - 破纪录的放大DDoS攻击仅用了几个月便利用了不安全的memcached服务器。

 

  在几乎所有Linux分销版本中,开源,免费和可用的Memcached具有超过10,000倍的超常放大因子(Akamai报告的放大因子高于50k),是导致中断的强大工具。

 

  虽然研究人员仅在2017年利用了矢量的放大效应,但放大器本身在10年前引入,当UDP协议侦听被添加到memcached时 - 这是当时没有人关心放大器本身。直到现在,随着网络带宽的不断增长,它变成了一个这样的问题。

 

  反射/放大背后的一般想法并没有改变。首先,将伪造的(IP欺骗)请求发送给memcached服务器上的漏洞(对端口11211上的任何人开放),之后,UDP服务器准备响应,并在攻击者的帮助下将数千个请求递交给目标主机,洪水泛滥网络渠道。如果没有适当的解决方案,大量的每秒数据包数和每秒位数无法得到缓解,因为这样的数据流会使边缘路由设备很快无法使用。

 

事实#3:当某些东西有效时,它起作用; 有时会对付你

 

  目前DDoS攻击带宽的世界纪录是在2017年Arbor Network的客户中1.7Tbps的攻击事件,接着是1.3Tbps的GitHub攻击(根据Akamai的DDoS缓解服务)。

 

Shodan的统计数据仍然显示,大量活跃的memcached放大器一次对所有世界的骗子开放:

 

Memcached的DDoS攻击:95000个服务器容易遭受虐待

分析+指导:@Akamai @arbornetworks @BarryRGreene @cloudflare @corero @dormando @JobSnijders @johullrich @Qrator_Labs pic.twitter.com/ivv3xX3XVR

 

- Mathew J Schwartz(@euroinfosec)2018年3月8日

正如您从推文中的图片中看到的,中国大陆和美国是memcached放大器的主要来源。

 

东方联盟还收集了免费提供的memcached服务器的总体统计数据。

 

这是东方联盟团队对memcached放大DDoS攻击的所有ISP,IXes和其他互联网企业的简短提醒。

 

东方联盟网络安全实验室(@Qrator_Labs)2018年3月6日

  有趣的是,他们观察到的易受攻击的memcached服务器数量大幅下降。其中一个原因可能是运营商(互联网服务提供商和转接运营商)越来越意识到这个问题,并正在努力减少其网络被用作攻击反射器的风险。

 

DDoSmon还提供了关于memcached放大DDoS攻击的当前目标的广泛统计数据,趋势明显。

 

事实4:应该修复所有可以修复的东西

 

  黑客郭盛华表示:缓解memcached风险并不是一件困难的事情。目前的最佳做法是对所有面向外部的端口应用速率限制,并将警察UDP / 11211流量降至可管理的水平。这可以保护您自己的基础架构和您的客户。

 

  如果Memcached用户在数据传输中不使用UDP,则应禁用UDP支持。另外,memcached只应监听本地主机,而不是所有可用的接口,这是缺省的memcached安装方案。

 

  此外,每个人都比控制某些网络资源的单个实体或一个人更重要,因为它应该确保memcached服务器不会暴露于所有Internet和防火墙。

 

  NTT建议将memcached UDP / 11211添加到与NTP,CHARGEN和SSDP相同的“可利用端口”列表中。以下是IOS XR将这些对放大敏感的UDP端口进行速率限制为端口容量的1%的配置示例。Qrator Labs发现这种处理memcached流量的方式非常有用和有效,并推荐它用于全局部署。

 

ipv4 access-list exploitable-ports

permit udp any eq ntp any

permit udp any eq 1900 any

permit udp any eq 19 any

permit udp any eq 11211 any

!

ipv6 access-list exploitable-ports-v6

permit udp any eq ntp any

permit udp any eq 1900 any

permit udp any eq 19 any

permit udp any eq 11211 any

!

class-map match-any exploitable-ports

match access-group ipv4 exploitable-ports

match access-group ipv6 exploitable-ports-v6

end-class-map

!

policy-map ntt-external-in

class exploitable-ports

police rate percent 1

conform-action transmit

exceed-action drop

!

set precedence 0

set mpls experimental topmost 0

!

class class-default

set mpls experimental imposition 0

set precedence 0

!

end-policy-map

!

interface Bundle-Ether19

description Customer: the best customer

service-policy input ntt-external-in

ipv4 address xxx/x

ipv6 address yyy/y

...

!

interface Bundle-Ether20

service-policy input ntt-external-in

...

... etc ...

 

有关进一步的建议,请查阅Barry Greene关于实施可开发端口过滤器的技巧。虽然Internet上易受攻击的服务器数量减少,但攻击者正在寻找利用漏洞的新方法和更强大的方法。负责memcached服务器的系统管理员似乎大部分都是粗心大意或无知,所以在试图关闭剩下的高速缓存时会出现长尾巴。这就是为什么在运营商网络上以某种方式处理memcached放大问题仍然很重要。

黑客教父郭盛华:Memcached放大DDOS攻击已是事实

标签:网络时间   原因   smon   log   客户   math   放大   cache   流量   

原文地址:https://www.cnblogs.com/hacker520/p/8693615.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!