黑客教父郭盛華:Memcached放大DDOS攻擊已是事實
郭盛華,信息及黑客界傳奇人物,被稱之為“黑客教父”,綽號“華少”。現任黑客愛國組織東方聯盟掌門人。
黑客教父郭盛華說:網絡黑客安全攻擊已成為許多新聞欄目每周頭條。最近的一個例子就是QIWI支付系統成功地緩解了480 Gbps memcached放大UDP DDoS攻擊。
郭盛華表示:雖然我們在東方聯盟網絡實驗室寧願不聽被攻擊的新聞,但這種情況證明了我們為減輕此類攻擊所做的所有準備。為了幫助其他人從我們的經驗中學習,我想我會回顧一些關於放大攻擊的事實,這樣你們也就會在一天到來時做好準備。
事實#1:放大器一直是,未來也將是一個問題
網絡時間協議(NTP)是第一個被濫用(早在2013年)作為DDoS執行中的放大器的協議。隨著成千上萬的NTP服務器部署在整個網絡中,這種特殊的向量對於尋求擴大其功能的攻擊者來說非常有利。到2014年初,NTP取代了DNS作為主要反射/放大載體。Smurf和Fraggle攻擊也使用DDoS的放大功能,並回溯到1999年。
2015年,我們看到了大規模僵屍網絡的崛起。他們使用基於UDP的放大技術,創造了有史以來觀察到的最大容積DDoS攻擊。由於Dyn和OVH在2016年的拒絕服務顯示,數千個受損設備與NTP和DNS放大的組合使得這些攻擊非常危險。這些僵屍網絡的命令和控制(C&C)服務器的聯合中斷使得有可能避免僵屍網絡接管網絡的危險。
隨著許多替代放大器的普及,包括Portmap,SNMP,SSDP,Chargen,MSSQL和CLDAP,2016年發生了變化。這種趨勢延續到2017年,許多技術嫻熟的黑客瞄準各種協議漏洞,試圖找到更多未知的媒介。
事實2:放大不會改變或演變。這只是發現的新漏洞
早在2017年,東方聯盟黑客安全團隊的安全研究人員透露了memcached擴增載體(見下文介紹) - 破紀錄的放大DDoS攻擊僅用了幾個月便利用了不安全的memcached服務器。
在幾乎所有Linux分銷版本中,開源,免費和可用的Memcached具有超過10,000倍的超常放大因子(Akamai報告的放大因子高於50k),是導致中斷的強大工具。
雖然研究人員僅在2017年利用了矢量的放大效應,但放大器本身在10年前引入,當UDP協議偵聽被添加到memcached時 - 這是當時沒有人關心放大器本身。直到現在,隨著網絡帶寬的不斷增長,它變成了一個這樣的問題。
反射/放大背後的一般想法並沒有改變。首先,將偽造的(IP欺騙)請求發送給memcached服務器上的漏洞(對端口11211上的任何人開放),之後,UDP服務器準備響應,並在攻擊者的幫助下將數千個請求遞交給目標主機,洪水泛濫網絡渠道。如果沒有適當的解決方案,大量的每秒數據包數和每秒位數無法得到緩解,因為這樣的數據流會使邊緣路由設備很快無法使用。
事實#3:當某些東西有效時,它起作用; 有時會對付你
目前DDoS攻擊帶寬的世界紀錄是在2017年Arbor Network的客戶中1.7Tbps的攻擊事件,接著是1.3Tbps的GitHub攻擊(根據Akamai的DDoS緩解服務)。
Shodan的統計數據仍然顯示,大量活躍的memcached放大器一次對所有世界的騙子開放:
Memcached的DDoS攻擊:95000個服務器容易遭受虐待
分析+指導:@Akamai @arbornetworks @BarryRGreene @cloudflare @corero @dormando @JobSnijders @johullrich @Qrator_Labs pic.twitter.com/ivv3xX3XVR
- Mathew J Schwartz(@euroinfosec)2018年3月8日
正如您從推文中的圖片中看到的,中國大陸和美國是memcached放大器的主要來源。
東方聯盟還收集了免費提供的memcached服務器的總體統計數據。
這是東方聯盟團隊對memcached放大DDoS攻擊的所有ISP,IXes和其他互聯網企業的簡短提醒。
東方聯盟網絡安全實驗室(@Qrator_Labs)2018年3月6日
有趣的是,他們觀察到的易受攻擊的memcached服務器數量大幅下降。其中一個原因可能是運營商(互聯網服務提供商和轉接運營商)越來越意識到這個問題,並正在努力減少其網絡被用作攻擊反射器的風險。
DDoSmon還提供了關於memcached放大DDoS攻擊的當前目標的廣泛統計數據,趨勢明顯。
事實4:應該修復所有可以修復的東西
黑客郭盛華表示:緩解memcached風險並不是一件困難的事情。目前的最佳做法是對所有面向外部的端口應用速率限制,並將警察UDP / 11211流量降至可管理的水平。這可以保護您自己的基礎架構和您的客戶。
如果Memcached用戶在數據傳輸中不使用UDP,則應禁用UDP支持。另外,memcached只應監聽本地主機,而不是所有可用的接口,這是缺省的memcached安裝方案。
此外,每個人都比控制某些網絡資源的單個實體或一個人更重要,因為它應該確保memcached服務器不會暴露於所有Internet和防火墻。
NTT建議將memcached UDP / 11211添加到與NTP,CHARGEN和SSDP相同的“可利用端口”列表中。以下是IOS XR將這些對放大敏感的UDP端口進行速率限制為端口容量的1%的配置示例。Qrator Labs發現這種處理memcached流量的方式非常有用和有效,並推薦它用於全局部署。
ipv4 access-list exploitable-ports
permit udp any eq ntp any
permit udp any eq 1900 any
permit udp any eq 19 any
permit udp any eq 11211 any
!
ipv6 access-list exploitable-ports-v6
permit udp any eq ntp any
permit udp any eq 1900 any
permit udp any eq 19 any
permit udp any eq 11211 any
!
class-map match-any exploitable-ports
match access-group ipv4 exploitable-ports
match access-group ipv6 exploitable-ports-v6
end-class-map
!
policy-map ntt-external-in
class exploitable-ports
police rate percent 1
conform-action transmit
exceed-action drop
!
set precedence 0
set mpls experimental topmost 0
!
class class-default
set mpls experimental imposition 0
set precedence 0
!
end-policy-map
!
interface Bundle-Ether19
description Customer: the best customer
service-policy input ntt-external-in
ipv4 address xxx/x
ipv6 address yyy/y
...
!
interface Bundle-Ether20
service-policy input ntt-external-in
...
... etc ...
有關進一步的建議,請查閱Barry Greene關於實施可開發端口過濾器的技巧。雖然Internet上易受攻擊的服務器數量減少,但攻擊者正在尋找利用漏洞的新方法和更強大的方法。負責memcached服務器的系統管理員似乎大部分都是粗心大意或無知,所以在試圖關閉剩下的高速緩存時會出現長尾巴。這就是為什麽在運營商網絡上以某種方式處理memcached放大問題仍然很重要。
黑客教父郭盛華:Memcached放大DDOS攻擊已是事實