放大倍数超5万倍的Memcached DDoS反射攻击,怎么破?
欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~
作者:腾讯游戏云
背景:Memcached攻击创造DDoS攻击流量纪录
近日,利用Memcached服务器实施反射DDoS攻击的事件呈大幅上升趋势。DDoS攻击流量首次过T,引发业界热烈回应。现腾讯游戏云回溯整个事件如下:
追溯2 月 27 日消息,Cloudflare 和 Arbor Networks 公司于周二发出警告称,恶意攻击者正在滥用 Memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。下图为监测到Memcached攻击态势。
仅仅过了一天,就出现了1.35Tbps攻击流量刷新DDoS攻击历史纪录。
美国东部时间周三下午,GitHub透露其可能遭受了有史最强的DDoS攻击,专家称攻击者采用了放大攻击的新方法Memcached反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。对GitHub平台的第一次峰值流量攻击达到了1.35Tbps,随后又出现了另外一次400Gbps的峰值,这可能也将成为目前记录在案的最强DDoS攻击,此前这一数据为1.1Tbps。
据CNCERT3月3日消息,监测发现Memcached反射攻击在北京时间3月1日凌晨2点30分左右峰值流量高达1.94Tbps。
腾讯云捕获多起Memcached反射型DDoS攻击
截止3月6日,腾讯云已捕获到多起利用Memcached发起的反射型DDoS攻击。主要攻击目标包括游戏、门户网站等业务。
腾讯云数据监测显示,黑产针对腾讯云业务发起的Memcached反射型攻击从2月21日起进入活跃期,在3月1日达到活跃高峰,随后攻击次数明显减少,到3月5日再次出现攻击高峰。攻击态势如下图所示:
下图为腾讯云捕获到的Memcached反射型DDoS攻击的抓包样本:
腾讯云捕获到的Memcached反射源为22511个。Memcached反射源来源分布情况如下图所示:
在腾讯云宙斯盾安全系统防护下,腾讯云业务在Memcached反射型DDoS攻击中不受影响。
那么,什么是Memcached反射攻击?
一般而言,我们会根据针对的协议类型和攻击方式的不同,把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各类攻击类型。
DDoS攻击的历史可以追溯到上世纪90年代,反射型DDoS 攻击则是DDoS攻击中较巧妙的一种。攻击者并不直接攻击目标服务 IP,而是通过伪造被攻击者的 IP向开放某些某些特殊服务的服务器发请求报文,该服务器会将数倍于请求报文的回复数据发送到那个伪造的IP(即目标服务IP),从而实现隔山打牛,四两拨千金的效果。而Memcached反射型攻击因为其高达数万倍的放大倍数,更加受到攻击者的青睐。
Memcached反射攻击,就是发起攻击者伪造成受害者的IP对互联网上可以被利用的Memcached的服务发起大量请求,Memcached对请求回应。大量的回应报文汇聚到被伪造的IP地址源,形成反射型分布式拒绝服务攻击。
为何会造成如此大威胁?
据腾讯云宙斯盾安全团队成员介绍,以往我们面临的DDoS威胁,例如NTP和SSDP反射攻击的放大倍数一般都是30~50之间,而Memcached的放大倍数是万为单位,一般放大倍数接近5万倍,且并不能排除这个倍数被继续放大的可能性。利用这个特点,攻击者可以用非常少的带宽即可发起流量巨大的DDoS攻击。
安全建设需要未雨绸缪
早在Memcached反射型DDoS攻击手法试探鹅厂业务之时,腾讯云已感知到风险并提前做好部署,这轮黑客基于Memcached反射发起的DDoS攻击都被成功防护。
与此同时,腾讯云在捕获到Memcached攻击后,及时协助业务客户自查,提供监测和修复建议以确保用户的服务器不被用于发起DDoS攻击。
应对超大流量DDoS攻击的安全建议
DDoS攻击愈演愈烈,不断刷新攻击流量纪录,面临超越Tbps级的超大流量攻击,腾讯云宙斯盾安全产品团队建议用户做以下应对:
1.需要加强对反射型UDP攻击的重点关注,并提高风险感知能力
反射型UDP攻击占据DDoS攻击半壁江山。根据2017年腾讯云游戏行业DDoS攻击态势报告显示,反射型UDP攻击占了2017年全年DDoS攻击的55%,需要重点关注此种类型攻击。
此次Memcached反射型攻击作为一种较新型的反射型UDP攻击形式出现,带来巨大安全隐患,需要业界持续关注互联网安全动态,并提高风险感知能力,做好策略应对。在行业内出现威胁爆发时进行必要的演练。
2.应对超大流量攻击威胁,建议接入腾讯云宙斯盾安全产品
应对逐步升级的DDoS攻击风险。建议配置宙斯盾高防IP产品,隐藏源站IP。用高防IP充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被DDoS攻击时才能保证业务可用性,从容处理。在面对高等级DDoS威胁时,及时升级防护配置,必要时请求DDoS防护厂商的专家服务。
了解腾讯云超大容量高防产品:
https://cloud.tencent.com/login?s_url=https%3A%2F%2Fcloud.tencent.com%2Fact%2Fapply%2FAegis
3.易受大流量攻击行业需加强防范
门户、金融、游戏等往年易受黑产死盯的行业需加强防范,政府等DDoS防护能力较弱的业务需提高大流量攻击的警惕。
风险往往曾经出现过苗头,一旦被黑产的春风点起,在毫无防护的情形之下,就会燃起燎原大火。
参考链接:
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
http://mp.weixin.qq.com/s/b0TXg_7Q9TweP4qu-8PKqw
相关阅读
此文已由作者授权腾讯云+社区发布,转载请注明文章出处
放大倍数超5万倍的Memcached DDoS反射攻击,怎么破?的更多相关文章
- CPU和GPU双低效,摩尔定律之后一万倍 ——写于TPU版AlphaGo重出江湖之际
本文来自计算机体系结构专家王逵.他认为,“摩尔定律结束之后,性能提升一万倍”不会是科幻,而是发生在我们眼前的事实. 2008年,<三体2:黑暗森林>里写到: 真的很难,你冬眠后不久 ...
- [转帖]黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器
黑客通过 Rootkit 恶意软件感染超 5 万台 MS-SQL 和 PHPMyAdmin 服务器 https://www.cnbeta.com/articles/tech/852141.htm 病毒 ...
- Client病毒已感染超7万人 暗扣费并频弹广告
恶意木马病毒横行,您的钱包还hold得住吗?猎豹移动安全实验室与安天AVL移动安全团队于2015年下半年,共同截获一款名为Client的木马病毒,并且对该病毒进行持续监测.通过进一步关注,我们发现该病 ...
- A股暴跌三日市值蒸发4.2万亿 股民人均浮亏超2万
A股暴跌三日市值蒸发4.2万亿 股民人均浮亏超2万 http://finance.qq.com/a/20150508/010324.htm?pgv_ref=aio2015&ptlang=205 ...
- 彗星撞地球 | 近25万倍压缩的精品3D动画
文章目录 写在前面 Prophecy<彗星撞地球> 下载地址 简概 注意 3D射击小游戏 下载地址 简概 写在前面 WareZ是个无形的组织,号称"不以赢利为目的纯技术团体&qu ...
- php实现不用加减乘除号做加法(1、善于寻找资源:去搜为什么位运算可以实现加法,里面讲的肯定要详细一万倍)
php实现不用加减乘除号做加法(1.善于寻找资源:去搜为什么位运算可以实现加法,里面讲的肯定要详细一万倍) 一.总结 1.善于寻找资源:去搜为什么位运算可以实现加法,里面讲的肯定要详细一万倍 二.ph ...
- 【转帖】5G基站建设下的“中国速度”:北上广深领跑全国,均超1万个
5G基站建设下的“中国速度”:北上广深领跑全国,均超1万个 https://www.laoyaoba.com/html/news/newsdetail?source=pc&news_id=73 ...
- [转帖]龙芯3A/3B3000通用处理器出货超30万 获得“中国芯”大奖
龙芯3A/3B3000通用处理器出货超30万 获得“中国芯”大奖 http://www.eetop.cn/cpu_soc/6946247.html 2019.10 的新闻 出后量 30万 我们贡献了 ...
- 改改Python代码,运行速度还能提升6万倍
这份最新研究指出,在后摩尔定律时代,人类所获得的的算力提升将更大程度上来源于计算堆栈的「顶层」,即软件.算法和硬件架构,这将成为一个新的历史趋势. 很多人学习python,不知道从何学起.很多人学习p ...
随机推荐
- cache.config文件配置模板
# # cache.config # # The purpose of this file is to alter caching parameters of # specific objects o ...
- [PHP]PDO占位符预处理在 IN 和 LIKE 中用法
两点注意项: 1. 占位符 (?) 必须被用在整个值的位置,不需要引号等其它字符. 2. 参数按数组元素顺序依次传递给占位符. <?php /** * PDO基于占位符的查询预处理 * * @l ...
- 树莓派小车By 树莓派爱好者ITJoker(通过python socket通信实现树莓派视频小车)(一)
本文由树莓派爱好者ITJoker 编辑,转载请注明出处.本人也有新浪博客同样是树莓派爱好者ITJoker 所需材料:树莓派2B或者2B以上,L2985n驱动板,若干排线,电池及电池盒,usb无线网卡( ...
- c#基础(一)
一. C#与.Net的关系 C#是一种相当新的编程语言.C#的重要性体现在以下两个方法: 1).它是专门为Microsoft的.net FrameWork一起使用而设计的 (.net FrameWor ...
- inotify-tools使用方法详解
inotify-tools 是为linux下inotify文件监控工具提供的一套c的开发接口库函数,同时还提供了一系列的命令行工具,这些工具可以用来监控文件系统的事件. inotify-tools是用 ...
- bzoj 3509: [CodeChef] COUNTARI] [分块 生成函数]
3509: [CodeChef] COUNTARI 题意:统计满足\(i<j<k, 2*a[j] = a[i] + a[k]\)的个数 \(2*a[j]\)不太好处理,暴力fft不如直接暴 ...
- BZOJ 1226: [SDOI2009]学校食堂Dining [DP 状压]
题意: $n$个人排队打饭,第$i$个人口味$a_i$,能容忍最多身后第$b_i$个人先打饭. 先后两人$i,j$做饭时间为$a_i & a_j - a_i | a_j$ 求最少时间 一开始想 ...
- Redis 学习(三) —— 事务、消息发布订阅
一.Redis事务 Redis 提供的事务机制与传统的数据库事务有些不同,传统数据库事务必须维护以下特性:原子性(Atomicity), 一致性(Consistency),隔离性(Isolation) ...
- [Python Study Notes]cpu信息
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''' ...
- Java线程池ThreadPoolExector的源码分析
前言:线程是我们在学习java过程中非常重要的也是绕不开的一个知识点,它的重要程度可以说是java的核心之一,线程具有不可轻视的作用,对于我们提高程序的运行效率.压榨CPU处理能力.多条线路同时运行等 ...