互聯(lián)網(wǎng)核戰(zhàn)爭(zhēng)打響？放大系數(shù)超5萬(wàn)倍DDoS攻擊事件爆發(fā)

　　從一枚子彈變成一顆核彈，從一滴水變成汪洋大海，這種情況是否只存在于大家的想象之中?本周，360信息安全部0kee Team監(jiān)測(cè)到一種利用Memcache的超大規(guī)模DDoS攻擊事件，攻擊者只需向Memcache服務(wù)器發(fā)送小字節(jié)請(qǐng)求，就可誘騙服務(wù)器將數(shù)萬(wàn)倍的響應(yīng)數(shù)據(jù)包發(fā)送給被攻擊者，形成DDoS攻擊。

　　360安全團(tuán)隊(duì)率先發(fā)出面向全球的重要預(yù)警，目前全球已有多個(gè)云服務(wù)器遭到攻擊，已知的最高流量接近1.4T，進(jìn)入集中爆發(fā)期，未來(lái)還可能持續(xù)出現(xiàn)更多該類(lèi)型的DDoS攻擊事件。

　　反射式DDoS攻擊：“熊孩子”秒變“綠巨人”

　　據(jù)悉，這種利用Memcache服務(wù)器的反射型DDoS攻擊，早在2017年6月前后由360 0kee Team首先發(fā)現(xiàn)，并于同年11月 PoC 2017會(huì)議報(bào)告上，詳細(xì)介紹了其攻擊原理和潛在危害。

　　所謂DDoS攻擊是通過(guò)大量合法的請(qǐng)求占用大量網(wǎng)絡(luò)資源，最終致使網(wǎng)絡(luò)癱瘓。就好比在一個(gè)正常營(yíng)業(yè)的商鋪，突然有一群“熊孩子”蜂擁而至，把整個(gè)店面占滿(mǎn)，想買(mǎi)東西的顧客擠進(jìn)不來(lái)，里面的商品也賣(mài)不出去，這時(shí)，商鋪就是受到了來(lái)自“熊孩子”的DDoS攻擊。

　　而Memcache作為分布式高速緩存系統(tǒng)，可幫助大型或者需要頻繁訪問(wèn)數(shù)據(jù)庫(kù)的網(wǎng)站來(lái)提升訪問(wèn)速度。此次核彈級(jí)的DDoS攻擊，正是網(wǎng)絡(luò)犯罪分子利用Memcache作為DRDoS放大器進(jìn)行放大的攻擊事件。

　　360安全團(tuán)隊(duì)介紹，近日發(fā)現(xiàn)的攻擊事件中，攻擊者首先向Memcache服務(wù)器發(fā)送小字節(jié)請(qǐng)求，并要求Memcache服務(wù)器將作出回應(yīng)的數(shù)據(jù)包發(fā)給指定IP(即受害者);Memcache服務(wù)器接收到請(qǐng)求后，由于 UDP協(xié)議并未正確執(zhí)行，產(chǎn)生了數(shù)萬(wàn)倍大小的回應(yīng)，并將這一巨大的回應(yīng)數(shù)據(jù)包發(fā)送給受害者;此時(shí)受害者就遭遇了“人在家中坐，禍從天上來(lái)”的局面。也就是說(shuō)攻擊者能誘騙 Memcache服務(wù)器將過(guò)大規(guī)模的響應(yīng)包發(fā)送給受害者。

　　這樣看來(lái)，本次攻擊事件還不完全是單純的“熊孩子”式的攻擊，而像是攻擊者釋放出了成千上萬(wàn)的“熊孩子”，并讓他們先去了 Memcache服務(wù)器。在這里，他們突然被放大無(wú)數(shù)倍，變成了成千上萬(wàn)個(gè)“綠巨人”，然后再浩浩蕩蕩奔向商鋪(受害者)。這時(shí)，受攻擊的商鋪別說(shuō)正常營(yíng)業(yè)了，儼然已經(jīng)崩潰、癱瘓。

　　這種間接 DDoS攻擊就是“反射式DDoS攻擊”，而其中服務(wù)器響應(yīng)數(shù)據(jù)包被放大的次數(shù)則被稱(chēng)為DDoS攻擊的“放大系數(shù)”。360安全團(tuán)隊(duì)指出，這次攻擊具有放大倍數(shù)高、影響服務(wù)器范圍廣兩大特點(diǎn)。

　　放大系數(shù)超5萬(wàn)倍堪稱(chēng)“核彈級(jí)攻擊”

　　目前，該類(lèi)型的DDoS攻擊放大倍數(shù)可達(dá)到5.12萬(wàn)倍，且Memcache服務(wù)器數(shù)量較多，在2017年11月時(shí)，估算全球約有六萬(wàn)臺(tái)服務(wù)器可以被利用，并且這些服務(wù)器往往擁有較高的帶寬資源。

　　最近一周以來(lái)，利用Memcache放大的DDoS攻擊事件爆發(fā)式增長(zhǎng)，攻擊頻率從每天不足50件增加到每天300至400件，360安全團(tuán)隊(duì)表示，可能有更大的攻擊案例并未被公開(kāi)報(bào)道。

　　針對(duì)本次史上罕見(jiàn)的DDoS攻擊事件，360安全團(tuán)隊(duì)在發(fā)布預(yù)警的同時(shí)，對(duì)Memcache使用者給出了以下三點(diǎn)建議：

　　1.Memcache的用戶(hù)建議將服務(wù)放置于可信域內(nèi)，有外網(wǎng)時(shí)不要監(jiān)聽(tīng) 0.0.0.0，有特殊需求可以設(shè)置acl或者添加安全組。

　　2.為預(yù)防機(jī)器 掃描和ssrf等攻擊，修改memcache默認(rèn)監(jiān)聽(tīng)端口。

　　3.升級(jí)到最新版本的memcache，并且使用SASL設(shè)置密碼來(lái)進(jìn)行權(quán)限控制。

　　此外，360安全團(tuán)隊(duì)還發(fā)布了本次DDoS攻擊的詳細(xì)技術(shù)報(bào)告，并表示接下來(lái)的一段時(shí)間內(nèi)，或?qū)⒈l(fā)更多利用Memcached進(jìn)行DRDoS的事件，如果本次攻擊效果被其他DDoS團(tuán)隊(duì)所效仿，將帶來(lái)難以預(yù)計(jì)的嚴(yán)重后果，對(duì)此，360安全團(tuán)隊(duì)將持續(xù)監(jiān)控本次攻擊事件，并及時(shí)做出響應(yīng)措施。