如何進行Memcached DRDoS攻擊趨勢的分析

今天就跟大家聊聊有關(guān)如何進行Memcached DRDoS攻擊趨勢的分析，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

一、概述 

基于Memcached服務(wù)的反射攻擊，由于其 5萬倍的反射比例，從一開始出現(xiàn)就成為DDoS攻擊界的“新寵”。 2018年2月28日 , GitHub遭受了1.35T 的Memcached DRDoS攻擊。目前基于安全專家以及相關(guān)機構(gòu)的努力，可利用的反射源已經(jīng)逐步減少。攻擊者也逐步更新自己的攻擊手段躲避審查，下面主要介紹基于Memcached的DDoS攻擊趨勢以及一些新的Memcached DRDoS的攻擊手法。

二、攻擊趨勢

從2月25號開始，Memcached DRDoS攻擊數(shù)量逐漸增多，3月初，Memcached DRDoS攻擊只占總體攻擊的5%，三月中旬以后，逐漸超過10%，現(xiàn)在穩(wěn)定在10%-20%之間波動，最近一周增長到30%。

三、放大的魔力

5萬倍

CF在2月份發(fā)布文章稱，檢測到發(fā)送15字節(jié)的包，收到750k字節(jié)的包。從而計算出反射倍數(shù)是51200倍。

CF提出的5萬倍僅僅是按響應(yīng)數(shù)據(jù)與請求數(shù)據(jù)的比例計算得到的，但DDoS攻擊消耗的是網(wǎng)絡(luò)帶寬資源，所以真實的放大倍數(shù)必須考慮數(shù)據(jù)包的實際網(wǎng)絡(luò)數(shù)據(jù)流長度。

在IEEE 802.3注1中，對以太網(wǎng)數(shù)據(jù)包有明確的規(guī)定：

根據(jù)802.3規(guī)范，一個數(shù)據(jù)包在網(wǎng)絡(luò)上傳播，占用的長度范圍是84~1542。上述發(fā)送15字節(jié)，實際網(wǎng)絡(luò)上數(shù)據(jù)包占有應(yīng)為84字節(jié)，接收1400字節(jié)，實際網(wǎng)絡(luò)上數(shù)據(jù)包占有應(yīng)為1466字節(jié)。因為一個完整UDP的包，發(fā)送到網(wǎng)絡(luò)中的報文實際長度會包含協(xié)議頭，包括14（以太頭）+20（IP頭）+8（UDP頭）+4（FCS）+ 20(幀間隙)= 66字節(jié)。

按照CF的檢測到的數(shù)據(jù)重新計算 ：

750字節(jié)產(chǎn)生的網(wǎng)絡(luò)流量達到：750*1024/1400*1466 = 804205.7

實際反射倍數(shù)則是：804205/84 = 9573.9 倍。

可見計算方法不同，放大倍數(shù)差距如此之大，從原來的5萬倍變?yōu)椴坏?萬倍。但不管怎么樣的差距，都不會影響Memcached反射攻擊成為DRDoS的TOP 1。

當然事實上，即使如何嚴謹?shù)挠嬎惴糯蟊稊?shù)，此類攻擊還是有進一步放大的案例。

增大反射倍數(shù)

Memcached 的value默認設(shè)置的最大長度是1Mbyte。單個get a請求后可實現(xiàn)的反射倍數(shù)達到： 1024*1024/1400*1466/84 = 13071.5倍。

雖然直接調(diào)大VALUE的值放大倍數(shù)還不足2萬倍，但通過一些攻擊技巧還是能實現(xiàn)反射倍數(shù)達到十幾萬倍。

我們最近捕獲到的攻擊，就使用了一種技巧實現(xiàn)了這樣的放大效果。

上圖所述的攻擊者在一個請求中，使用了多次查詢，通過在一個UDP包中執(zhí)行多條get指令，Memcached服務(wù)器返回大量的多條數(shù)據(jù)包，由于UDP包本身的長度要占用66字節(jié)，通過這樣的節(jié)省UDP包發(fā)送條數(shù)的手法，達到比之前單條發(fā)送要放大更多倍的效果。

上述攻擊實例中，攻擊者使用70個Memcached的GET指令拼裝到一個UDP包中，發(fā)送包總長度844字節(jié)（Wireshark沒有計算幀間隙和FCS，所以是820+24=844）。

該指令獲取的VALUE值的長度達到304800:

實現(xiàn)反射倍數(shù)：304800*70/1400*1466/844= 26471.4倍。    

理論上這不是最高的放大倍數(shù)。

當GET指令的個數(shù)增加時，反射比例還會增大，加上優(yōu)化payload，最終能實現(xiàn)十幾萬倍的反射效果：

1)    將get VcoOw\r\n  替換為get a\r\n ，在一個UDP包中構(gòu)造更多的請求指令，考慮MTU 1500，IP頭20，UDP頭8，Memcache協(xié)議頭8，則指令個數(shù)可達：(1500-20-8-8)/7 = 209.14，安全計算取205個指令。

2)    發(fā)送包長： 66+8+7*205＝1509字節(jié)，

3)    每個value值為1024*1024字節(jié)，

則總體反射倍數(shù)：1024*1024*205/1400*1466/1509= 149166.2倍！

實際的環(huán)境中，反射比例要小的多。一方面，是由于Memcached服務(wù)器的性能決定，另一方面UDP存在一定比例的丟包，甚至還有空響應(yīng)的。

四、放大的意外

在對捕獲的攻擊數(shù)據(jù)分析中，有一定比例的返回包只有一個END數(shù)據(jù)，

這是由于GET 指令的KEY不存在。一個820字節(jié)的發(fā)送包能產(chǎn)生70個60字節(jié)UDP小包。

反射倍數(shù)：84*70/844 = 6.97倍。

反射比例超低，但由于路由設(shè)備以及服務(wù)器對小包處理性能較弱，因而大量的小包也會對網(wǎng)絡(luò)也會產(chǎn)生較大的影響。

針對部分采樣數(shù)據(jù)的統(tǒng)計，END小包與大包比例如下：

五、反射源分析

對采樣的反射源產(chǎn)生的攻擊包進行聚類匯總。中國占比最高，美國，俄羅斯緊隨其后。

國內(nèi)分布的狀況，杭州的反射源產(chǎn)生的攻擊包最多。抑制反射源濫用網(wǎng)絡(luò)，需要IDC、云平臺等積極處理。    

抽樣分析反射源使用的Memcache版本，1.4.15使用占比最多：

對攻擊者使用MemcachedDRDoS的攻擊目標進行分析，宿遷地區(qū)遭受的攻擊最多：

六、攻擊手法對比

之前暴出的攻擊POC C 版本注2和Python版本注3，其中C版本主要使用了Memcached服務(wù)的stats命令（10-20倍）。Python版本使用了Memcached服務(wù)的set和get命令

而我們這次捕獲到的變種使用了多次指令組合到一個UDP包中發(fā)送。

Payload如下：

根據(jù)攻擊者使用的反射資源，SET設(shè)置的key和value參數(shù)的相似性進行分類。

攻擊者更多采用get XXX 相關(guān)的指令實現(xiàn)更大的反射倍數(shù)。

七、防范

1)    在Memcached服務(wù)器或者其上聯(lián)的網(wǎng)絡(luò)設(shè)備上配置防火墻策略，僅允許授權(quán)的業(yè)務(wù)IP地址訪問Memcached服務(wù)器，攔截非法的訪問。

2)    更改Memcached服務(wù)的監(jiān)聽端口為11211之外的其他大端口，避免針對默認端口的惡意利用。

3)    除非特殊必要，不開啟Memcached UDP服務(wù)，最新版本的Memcached已經(jīng)默認不開啟UDP服務(wù)。

4)    升級到最新的Memcached軟件版本，配置啟用SASL認證等權(quán)限控制策略（在編譯安裝Memcached程序時添加-enable-sasl選項，并且在啟動Memcached服務(wù)程序時添加-S參數(shù)，啟用SASL認證機制以提升Memcached的安全性）。

八、結(jié)語

UDP協(xié)議以其無阻塞、收發(fā)快為開發(fā)者所喜歡，較TCP更靈活，對一些實時交互的場景更具有優(yōu)勢，相信越來越多的服務(wù)會選擇UDP協(xié)議。而DRDoS攻擊正是利用UDP協(xié)議這一松散快速響應(yīng)的特性，一次次的瞄準更大范圍的開放服務(wù)來實施攻擊，讓目標防不勝防。

Memcached反射攻擊可高達十幾萬倍的反射能力，不僅對攻擊目標造成極大的損害，也會大大增加反射源的負載而影響自有業(yè)務(wù)運行。黑客無處不在，防御仍需專業(yè)，預(yù)防則更依賴服務(wù)提供者、IDC和云平臺等多方面加強安全意識。

看完上述內(nèi)容，你們對如何進行Memcached DRDoS攻擊趨勢的分析有進一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注億速云行業(yè)資訊頻道，感謝大家的支持。