网络犯罪分子已经找到了一种滥用广泛使用的Memcached服务器方法,以发起超过51,000次强大的DDoS攻击,而这些攻击的强度可能会导致主要网站和互联网基础设施的崩溃。

最近几天,Cloudflare,Arbor Networks和中国安全公司Qihoo 360的安全研究人员发现,黑客现在正在滥用“Memcached”,以前所未有的5.12万倍的速度放大DDoS攻击。

Memcached是一个流行的开源且易于部署的分布式缓存系统,它允许将对象存储在内存中,并且设计为可与大量开放式连接一起使用。Memcached服务器通过TCP或UDP端口11211运行。

Memcached应用程序旨在通过减少数据库上的压力来加速动态Web应用程序,这有助于管理员提高性能并扩展Web应用程序。它被成千上万的网站广泛使用,包括Facebook,Flickr,Twitter,Reddit,YouTube和Github。

被Cloudflare 称为Memcrashed,该攻击明显滥用未启用UDP的未受保护的Memcached服务器,以便以原先的强度提供51,200倍的DDoS攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcached应用程序旨在通过减少数据库上的压力来加速动态Web应用程序,这有助于管理员提高性能并扩展Web应用程序。它被成千上万的网站广泛使用,包括Facebook,Flickr,Twitter,Reddit,YouTube和Github。

被Cloudflare 称为Memcrashed,该攻击明显滥用未启用UDP的未受保护的Memcached服务器,以便以原先的强度提供51,200倍的DDoS攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcrashed DDoS放大攻击如何工作?

像其他放大方法一样,黑客通过伪造的IP地址发送小的请求以获得更大的响应作为回报,Memcrashed放大攻击也可以通过伪造的请求向端口11211上的目标服务器(易受攻击的UDP服务器)发送欺骗性IP地址匹配受害者的IP。

据研究人员称,发送给易受攻击服务器的请求只需要几个字节即可触发数万倍的响应。

“15个字节的请求触发了134KB的响应,这是10,000倍的放大因子!实际上,我们看到一个响应750kB的15字节请求结果(这是一个51,200倍放大),”Cloudflare说。

据研究人员称,大多数Memcached服务器被滥用于放大DDoS攻击,都在OVH,DigitalOcean,Sakura和其他小型托管服务提供商处进行。

总结

  1. 如何发现?

用扫描软件自查一下,自己机器有没有开放udp,tcp 11211端口的,如果有说出明风险比较大,

  1. 如何解决,

防火墙上屏蔽udp 11211端口访问,

最终解决办法还是打补丁,或者是删除不用的应用。