memcache – ChaBug安全 / 一个分享知识、结识伙伴、资源共享的博客 Thu, 17 May 2018 12:53:57 +0000 zh-CN hourly 1 https://wordpress.org/?v=5.5.5 Memcache 反射攻击脚本 /tools/367.html Sat, 03 Mar 2018 00:06:00 +0000 /?p=265 移步这里 https://github.com/Srar/MemcacheDos

]]> Github遭遇史上最大1.35 Tbps DDoS攻击 /news/371.html Fri, 02 Mar 2018 17:31:00 +0000 /?p=275 1.jpg
最大代码分发平台Github在周三遭受了一系列大规模分布式拒绝服务(DDoS)攻击。

在攻击的第一阶段,Github的网站遭受了惊人的每秒1.35太比特(Tbps)的高峰,而在第二阶段,Github的网络监控系统检测到了400Gbps的峰值。攻击持续了8分钟以上,并且由于攻击使用了大量流量,这是迄今为止见过的最大的DDoS攻击。

此前,法国电信OVH和Dyn DNS遭遇了1 Tbps流量的DDoS攻击。两起攻击都是黑客利用Mirai进行的,Mirai是一种感染物联网设备进行大规模DDoS攻击的病毒。

然而,就Github而言,大规模攻击时源于Akamai,Arbor Networks和Cloudflare的Memcached服务器中的严重安全漏洞。据研究人员介绍,Memcached服务器的UDP协议的实现存在漏洞,可以被用来发起重大的DDoS攻击。

研究人员称之为放大攻击。Github已经证实,这次攻击利用了Memcached进行放大攻击,通过每秒1.269亿个数据包以1.35Tbps的速度达到峰值。
2.jpg
如果黑客使用放大攻击,他们就可以用较低的流量(低至1Gbps)发起攻击,并发起非常大型的攻击,攻击速度可达每秒几GB。

Github的Sam Kottler解释了这起攻击并写道:“IP地址欺骗使Memcached的响应可以回复到另一个地址,比如用于服务GitHub.com的地址,并向目标发送更多数据。这次的攻击中,错误配置的漏洞很独特,因为放大因子高达51,000,这意味着对于攻击者发送的每个字节,最多可向目标发送51KB。”
3.jpg
根据Cloudflare的工程师Marek Majkowski的说法,“在过去的几天里,我们发现大量的放大攻击,这些攻击使用来自UDP端口11211的Memcached协议。不幸的是,全球有很多Memcached服务器都使用了这种不安全的配置。“

“15个字节的请求可以触发134KB的响应。这是10,000x的放大倍数!实际上,我们看到一个750kB响应来自15字节的请求(这是一个51,200倍放大)。“

为了减轻攻击,Github决定使用Akamai的Prolexic,它提供完全托管的DDoS防护,并且Akamai能够过滤并阻止恶意流量数据包。此外,Github已向其用户致歉,并表示用户数据没有受到威胁。该公司誓言要提高其安全性来处理这种大规模的网络攻击。

近年来随着物联网病毒的广泛传播,大规模的DDoS攻击愈发增多。而GitHub也并非第一次遭到DDoS攻击,2015年,Github曾遭到当时最大规模的攻击。

]]> Memcache UDP反射放大攻击 /news/366.html Thu, 01 Mar 2018 23:01:00 +0000 /?p=260 网络犯罪分子已经找到了一种滥用广泛使用的Memcached服务器方法,以发起超过51,000次强大的DDoS攻击,而这些攻击的强度可能会导致主要网站和互联网基础设施的崩溃。

最近几天,Cloudflare,Arbor Networks和中国安全公司Qihoo 360的安全研究人员发现,黑客现在正在滥用“Memcached”,以前所未有的5.12万倍的速度放大DDoS攻击。

Memcached是一个流行的开源且易于部署的分布式缓存系统,它允许将对象存储在内存中,并且设计为可与大量开放式连接一起使用。Memcached服务器通过TCP或UDP端口11211运行。

Memcached应用程序旨在通过减少数据库上的压力来加速动态Web应用程序,这有助于管理员提高性能并扩展Web应用程序。它被成千上万的网站广泛使用,包括Facebook,Flickr,Twitter,Reddit,YouTube和Github。

被Cloudflare 称为Memcrashed,该攻击明显滥用未启用UDP的未受保护的Memcached服务器,以便以原先的强度提供51,200倍的DDoS攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcached应用程序旨在通过减少数据库上的压力来加速动态Web应用程序,这有助于管理员提高性能并扩展Web应用程序。它被成千上万的网站广泛使用,包括Facebook,Flickr,Twitter,Reddit,YouTube和Github。

被Cloudflare 称为Memcrashed,该攻击明显滥用未启用UDP的未受保护的Memcached服务器,以便以原先的强度提供51,200倍的DDoS攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcrashed DDoS放大攻击如何工作?

像其他放大方法一样,黑客通过伪造的IP地址发送小的请求以获得更大的响应作为回报,Memcrashed放大攻击也可以通过伪造的请求向端口11211上的目标服务器(易受攻击的UDP服务器)发送欺骗性IP地址匹配受害者的IP。

据研究人员称,发送给易受攻击服务器的请求只需要几个字节即可触发数万倍的响应。

“15个字节的请求触发了134KB的响应,这是10,000倍的放大因子!实际上,我们看到一个响应750kB的15字节请求结果(这是一个51,200倍放大),”Cloudflare说。

据研究人员称,大多数Memcached服务器被滥用于放大DDoS攻击,都在OVH,DigitalOcean,Sakura和其他小型托管服务提供商处进行。

总结

  1. 如何发现?

用扫描软件自查一下,自己机器有没有开放udp,tcp 11211端口的,如果有说出明风险比较大,

  1. 如何解决,

防火墙上屏蔽udp 11211端口访问,

最终解决办法还是打补丁,或者是删除不用的应用。

]]>