本文由  网易云发布。

近日,媒体曝光Memcache服务器一个漏洞,犯罪分子可利用Memcache服务器通过非常少的计算资源发动超大规模的DDoS攻击。该漏洞是Memcache开发人员对UDP协议支持的方式不安全导致的,黑客能通过它实现“反射型DDoS攻击”。

什么是反射型DDoS攻击,犯罪分子是如何利用UDP协议进行攻击的?我们应该采取什么方式去减少它所带来的危害?网易云首席安全架构师沈明星对此进行了解读。

“四两拨千斤”的攻击方式

沈明星称,反射型DDoS攻击是一种新的变种。攻击者并不直接攻击目标服务IP,而是利用互联网的某些特殊服务开放的服务器,通过伪造被攻击者的IP地址、向有开放服务的服务器发送构造的请求报文,该服务器会将数倍于请求报文的回复数据发送到被攻击IP,从而对后者间接形成DDOS攻击。

图解:攻击者(Attacker,实际情况中更多的会利用傀儡机进行攻击)不直接把攻击包发给受害者,而是冒充受害者给放大器(Amplifiers)发包,然后通过放大器再反射给受害者

回到Memcache服务器上则是,犯罪分子会向端口11211上的Memcache服务器发送小字节请求。由于UDP协议并未正确执行,因此Memcache服务器并未以类似或更小的包予以响应,而是 有时候比原始请求大数千倍的包予以响应。由于UDP协议即包的原始IP地址能轻易遭欺骗,也就是说攻击者能诱骗Memcache服务器将过大规模的响应包发送给另外一个IP地址,即DDoS攻击的受害者的IP地址。

那为什么攻击者能利用了网络协议的缺陷或者漏洞进行IP欺骗?沈明星称,这主要是因为很多协议(例如ICMP、UDP等)对源IP不进行认证。

为了达到更好的攻击效果,黑客还会选择具有放大效果的协议服务进行攻击,“攻击非常容易就能达到四两拨千斤的效果。”沈明星担忧地说。

我们任何一个对外开放的业务都可能是潜在的受害者 建议停止使用Memcache的UDP端口

根据监测数据显示,利用Memcache这个漏洞进行DDoS攻击的事件明显增多,存在较大的风险。沈明星说:“我们任何一个对外开放的业务都可能是潜在的受害者。”

那应该采取什么方式去减少Memcache漏洞所带来的危害?这位攻防经验十分丰富的首席安全架构师表示,对于Memcache的用户,为了避免成为攻击者的帮凶,可以使用“--listen 127.0.0.1”只在本地侦听UDP端口,或者索性使用“ -U 0 ”关闭UDP端口。除此之外,也可以使用防火墙关闭对11211端口的访问。

对于开发而言,建议停止使用Memcache的UDP端口。

对于易受攻击的用户,建议对自己的业务进行加固。另外,由于UDP反射使用大带宽进行堵塞的这一特征,需要用户采购超大的带宽才能进行防御。一般用户如果无力采购超大带宽,建议购买DDoS高防服务的方式进行防御。

网易云易盾DDoS高防第一时间响应时加入的监测特征

Memcache服务器漏洞披露后,网易云易盾DDoS高防第一时间进行了响应。即时推送相关消息给用户进行提醒,并对DDoS检测特征库进行了更新,加强针对此次事件的跟踪和检测。同时,运营和专家团队也7*24小时随时待命应对可能的升级攻击。

沈明星指出,网易云易盾DDoS高防使用了网易自研的流量清洗技术,拥有网易二十年的攻防对抗积累经验,并经过多次大型事件检验,应对此次攻击事件完全游刃有余,所有网易云易盾用户均可放心。

原文地址:http://mp.weixin.qq.com/s/YuMIrmDSDiIA4Y3acHQ7SQ

了解 网易云 :
网易云官网:https://www.163yun.com/
新用户大礼包:https://www.163yun.com/gift
网易云社区:https://sq.163yun.com/

四两拨千斤式的攻击!如何应对Memcache服务器漏洞所带来的DDoS攻击?的更多相关文章

  1. 你好,C++(15)四两拨千斤——3.9 指向内存位置的指针

    3.9  指向内存位置的指针 一天,两个变量在街上遇到了: “老兄,你家住哪儿啊?改天找你玩儿去.” “哦,我家在静态存储区的0x0049A024号,你家呢?” “我家在动态存储区的0x0022FF0 ...

  2. 转载:四两拨千斤:借助Spark GraphX将QQ千亿关系链计算提速20倍

    四两拨千斤:借助Spark GraphX将QQ千亿关系链计算提速20倍 时间 2016-07-22 16:57:00 炼数成金 相似文章 (5) 原文  http://www.dataguru.cn/ ...

  3. 四两拨千斤,ARM是如何运作、靠什么赚钱的

    在智能手机.平板大行其道的今天,ARM这个名字我们几乎每天都要见到或者听到几次,作为编辑的我更是如此,每天涉及到的新闻总是或多或少跟ARM扯上关系,它还与Intel.AMD.NVIDA等公司有说不清道 ...

  4. 四两拨千斤——你不知道的VScode编码TypeScript的技巧

    转载请注明出处:葡萄城官网,葡萄城为开发者提供专业的开发工具.解决方案和服务,赋能开发者. 原文参考:https://blog.bitsrc 如果你体验过JAVA这种强类型语言带来的便利,包括其丰富的 ...

  5. Java压测之四两拨千斤

    压测之四两拨千斤核心观念: 1.传统的http请求肯定不能用于压测,原因是请求一次,响应一次,而响应数据同时占用了客户端的带宽,故此,客户端请求后,不需要接受响应,让服务器单相思去. 2.寻找可以令服 ...

  6. 多事之秋-最近在阿里云上遇到的问题:负载均衡失灵、服务器 CPU 100%、被 DDoS 攻击

    昨天 22:00~22:30 左右与 23:30~00:30 左右,有1台服役多年的阿里云负载均衡突然失灵,造成通过这台负载均衡访问博客站点的用户遭遇 502, 503, 504 ,由此给您带来麻烦, ...

  7. [XSS防御]HttpOnly之四两拨千斤

    今天看了<白帽子讲web安全>一书,顺便记录一下,HttpOnly的设置 httponly的设置值为 TRUE 时,使得Javascript无法获取到该值,有效地防御了XSS打管理员的 c ...

  8. 反射型 DDoS 攻击的原理和防范措施

    随着僵尸网络的兴起,同时由于攻击方法简单.影响较大.难以追查等特点,分布式拒绝服务攻击(DDoS,Distributed Denial of Service)得到快速壮大和日益泛滥. 成千上万主机组成 ...

  9. 记一次ntp反射放大ddos攻击

    2018/3/26 ,共计310G左右的DDoS攻击 临时解决办法:将web服务转移到同生产一个内网段的备份服务器a上,a提供web端口80,数据库通过内网连接还是沿用生产数据库. 后续解决办法:通过 ...

随机推荐

  1. handler通信机制

    package com.example.gp08_day26_handler3; import android.os.Bundle; import android.os.Handler; import ...

  2. struts2框架值栈的概述之问题一:什么是值栈?

    1. 问题一:什么是值栈? * 值栈就相当于Struts2框架的数据的中转站,向值栈存入一些数据.从值栈中获取到数据. * ValueStack 是 struts2 提供一个接口,实现类 OgnlVa ...

  3. tcl&redis安装

    http://www.linuxfromscratch.org/blfs/view/cvs/general/tcl.html tcl http://redis.io/topics/quickstart

  4. How to Check if Linux (Ubuntu, Fedora Redhat, CentOS) is 32-bit or 64-bit

    The number of CPU instruction sets has kept growing, and likewise for the operating systems which ar ...

  5. Android 获取ROOT权限原理解析

    一. 概述 本文介绍了android中获取root权限的方法以及原理,让大家对android玩家中常说的“越狱”有一个更深层次的认识. 二. Root的介绍 1.       Root 的目的 可以让 ...

  6. python基础之删除文件及删除目录的方法-乾颐堂

    下面来看一下python里面是如何删除一个文件及文件夹的~~ 首先引入OS模块 import os 删除文件: os.remove() 删除空目录: os.rmdir() 递归删除空目录: os.re ...

  7. 给Array添加去重原型方法

    Array.prototype.unique = function(){ var newArray = []; var oldArray = this; if(oldArray.length<= ...

  8. Hibernate不能实时获取MySQL数据库的更新

    在hibernate.cfg.xml配置文件中,增加以下内容: <property name="hibernate.connection.provider_class"> ...

  9. 执行程序---system

    头文件:#include<stdlib.h> 函数原型:int system(const char *command) 参数说明:command被执行的命令,字符串格式 返回值:成功则返回 ...

  10. 2018.09.17 bzoj1260: [CQOI2007]涂色paint(区间dp)

    传送门 区间dp简单题啊. 很显然用f[l][r]f[l][r]f[l][r]表示把区间[l,r][l,r][l,r]按要求染好的代价. 这样可以O(n)O(n)O(n)枚举断点转移了啊. 显然如果断 ...