Cloudflare:Memcached遭濫用發動大規模DDoS攻擊,攻擊流量高達260Gbps
Cloudflare發現駭客鎖定Memcached,發出偽造的請求,經過的Memcached的UDP埠展開反射性的放大攻擊流量,使被攻擊的目標癱瘓服務,最高攻擊流量接近260Gbps。
文/陳曉莉 | 2018-02-28發表
內容遞送網路供應商Cloudflare本周警告,他們發現這幾天駭客開始利用Memcached分散式快取系統的UDP(User
Datagram Protocol,使用者資料包通訊協定)的通訊埠發動分散式阻斷服務(DDoS)攻擊,最大的攻擊流量接近260Gbps。
駭客是利用Memcached的UDP埠展開反射性的放大攻擊,所謂的放大攻擊是駭客傳送偽造的請求到啟用UDP的大量伺服器上,這些伺服器通常不知道請求是偽造的,而會如實地準備回應,但回應的對象卻是駭客所指定的網域,且回應封包遠大於請求封包,造成目標網域的資源用罄,進而中斷服務。
Cloudflare指出,這幾天他們發現了鎖定Memcached之UDP埠的主要攻擊行動,駭客每秒傳送2300萬個封包至Memcached伺服器上,而大多數的回應封包為1400個位元組(Byte),計算之後其每秒將佔用257Gb的頻寬。
Cloudflare工程師Marek
Majkowski表示,UDP是最容易用來執行放大攻擊的協定之一,只要送出15 bytes的請求封包就能換來134KB或更大的回應封包,放大率超過1萬倍。
在最近的攻擊中,駭客利用了網路上的5,729個Memcached伺服器,主要集中在北美與歐洲,Cloudflare亦預期駭客的攻擊行動可能進一步擴大,因為Shodan查詢顯示全球約有8.8萬個開放的Memcached伺服器,其中,美國佔了2.5萬台,中國也佔了1.9萬台。
Majkowski建議不使用UDP的Memcached用戶應直接關閉該通訊埠,或確保自己的Memcached伺服器受到防火牆的保護,也提醒開發人員最好不要使用UDP,就算不得不用,也不應預設為啟用狀態,並應嚴格限制回應封包的大小,以免成為駭客執行DDoS攻擊的幫兇。