攻击者利用某分布式对象缓存系统发起TB级流量攻击
随着物联网设备总量的指数式增长互联网上的攻击者也能掌控更多肉鸡组建僵尸网络来发起庞大的流量攻击。
例如在去年物联网蠕虫病毒 Mirai 爆发让大量设备成为肉鸡,最终发起的流量攻击让美国东部地区直接下线。
然而随着时间的推移攻击者们发现新的途径来发起海量攻击,这种攻击流量足以让绝大多数的网站直接瘫痪。
分布式缓存系统Memcached:
Memcached本身是个开源的高性能分布式对象缓存系统,基本上使用 Linux 服务器的网站都会使用该系统。
该系统可以在内存中缓存网站数据以降低数据库读写频次、降低对硬盘I/O 占用的情况下提高数据读取速度。
作为应用级程序Memcached本身无法通过公网直接访问,因为该程序不需经过任何认证即可进行参数配置。
而很多系统管理员可能在无意中暴露Memcached配置接口,这让攻击者发现可乘之机后直接发起流量攻击。
利用Memcached将流量攻击放大5.12万倍:
流量放大是目前非常流行的DDoS 流量攻击方式,使用这种方式攻击者不需太多的肉鸡和流量即可发起攻击。
而最新的案例是有攻击者利用Memcached将流量极其夸张的放大5.12万倍,瞬间将总流量攻击提到TB级别。
美国内容分发网络提供商Akamai 在调查后发现,原本只有203字节的请求经过放大后可以暴增到100多MB。
而攻击者只需要轻松发起多个普通请求即可让服务器瘫痪,对服务器而言每秒钟处理几个TB的内容实在不易。
超过9万台Memcached服务器暴露在互联网上:
目前有调查显示全球至少有9万台Memcached 服务器直接通过11211 UDP端口暴露在互联网公网允许访问。
攻击者可以极其轻易的利用利用这些暴露的服务器发起TB级攻击,相信放眼全球也没多少网站能扛得住攻击。
当然如果你是服务器管理员或者运维工程师的话请立即通过配置安全策略强化Memcached 服务器免遭利用。
强化Memcached的安全策略:
使用代码编辑器编辑Memcached程序配置文件来修改参数,具体的修改建议请参考安全公司 SANS 的报告。
配置文件默认路径位于:/etc/memcached.conf 找到-m参数:将其默认值至少修改为1GB或以上 找到-l参数:将其默认值修改为127.0.0.1或者localhost 保存配置文件然后覆盖到服务器上,最后重启Memcached服务器即可。