Tarihi yaşayın! Tarihte ilk nükleer bomba düzeyinde DDoS saldırısı dünyayı zehirliyor
Bugün, 360 Siber Güvenlik Yanıt Merkezi (360 Cert), Memcache'yi amplifikasyon için bir DRDoS amplifikatörü olarak kullanan ultra büyük ölçekli bir DDoS saldırısı tespit ettiğini söyleyerek erken uyarı yayınladı. Bu yansıtıcı DDoS saldırısı, 50.000 kat artış faktörüne ulaşabilir. Suçlular şunları yapabilir: Çok az bilgi işlem kaynağıyla ultra büyük ölçekli DDoS saldırıları başlatmak için Memcache sunucusunu kullanın.
360 Cert, dünyadaki birçok bulut sunucusunun şu anda saldırı altında olduğunu ve gelecekte DRDoS için Memcached'i kullanmanın daha fazla olayı olabileceğini söyledi.
Aslında, Haziran 2017 gibi erken bir tarihte, 360 Bilgi Güvenliği Departmanının 0kee Ekibi, Memcache güçlendirmeyi kullanarak bu saldırı tekniğini keşfetti ve Kasım 2017'de PoC 2017 güvenlik konferansı aracılığıyla güvenlik topluluğuna bir erken uyarı yayınladı. 360 CERT QUAKE'ın tüm ağ araştırması ve haritalaması, şu anda dış dünyaya açık olan Memcache depolama sisteminin 100.000 seviyesinde olduğunu ve bu tür saldırılardan etkilenebileceğini gösteriyor. Ülke dağılımı açısından bakıldığında, açık ev sahibi sayısı açısından Amerika Birleşik Devletleri birinci ve Çin ikinci sırada, ancak etkilenen sayı tam tersi.
DDoS saldırıları, ağı felç etme amacına ulaşmak için çok sayıda meşru istek yoluyla çok sayıda ağ kaynağını işgal eder. Örneğin, çok sayıda sahte müşteri ile dolu normal bir iş mağazasıdır ve gerçek müşterilere hizmet vermenin bir yolu yoktur.Bu mağaza bir DDoS saldırısının kurbanıdır.
360 CERT ekibi, Memcache'yi amplifikasyon için bir DRDoS amplifikatörü olarak kullanan bu tür DDoS saldırısının, Memcached protokolünü kurbanın IP adresiyle amplifikatör ana bilgisayarına çok sayıda UDP paketi göndermek için kullandığını ve ardından amplifikatör ana bilgisayarının çok sayıda sahte IP adresi kaynağı oluşturduğunu açıkladı. Yanıt olarak, dağıtılmış bir hizmet reddi saldırısı oluşturulur ve böylece bir DRDoS yansıması oluşturulur.
Son günlerde Memcache amplifikasyonu kullanılarak keşfedilen saldırılarda, saldırganın 11211 numaralı bağlantı noktasındaki Memcache sunucusuna küçük bayt istekleri gönderdiği anlaşılıyor. UDP protokolü doğru şekilde yürütülmediğinden, Memcache sunucusu benzer veya daha küçük paketlerle yanıt vermedi, ancak bazen orijinal istekten binlerce kat daha büyük paketlerle yanıt verdi. Başka bir deyişle, saldırgan Memcache sunucusunu kurbana aşırı büyük yanıt paketleri göndermesi için kandırabilir.
Memcache saldırı büyütme faktörü 50.000 kata kadar çıkabilir
Bu tür DDoS saldırılarına "yansıyan DDoS" veya "yansıyan DDoS" denir. Yanıt paketinin çoğaltıldığı kat, DDoS saldırısının "büyütme faktörü" olarak adlandırılır. Şu anda, ortak yansıma DDoS saldırılarının güçlendirme faktörü genellikle 20 ile 100 arasındadır. 1000'den fazla büyütme faktörüne sahip yansıma tipi bir DDoS saldırısı, kendi başına çok nadirdir ve bu sefer DDoS saldırı savaş alanına gerçekte 50.000 kata kadar bir büyütme faktörü uygulanmıştır.Bu, DDoS tarihindeki ilk ultra yüksek büyütmeli DDoS saldırısıdır. Seviye atak tekniği.
Bu aynı zamanda bu Memcrashed'in teknik özelliklerinden biridir - yansıma katsayısı büyüktür ve kararlı bir şekilde 50.000 katına ulaşabildiği doğrulanmıştır.Ayrıca, bu saldırı olayının yansıma noktası bant genişliği bol ve çoğunlukla IDC bilgisayar odası sunucusundan geliyor.
Geçtiğimiz hafta, Memcache amplifikasyonunu kullanan saldırılar hızla arttı. Saldırıların sıklığı günde 50 vakadan 300 vakaya yükseldi. Gerçek canlı ağlarda 0,5 Tb / sn'lik saldırılar çoktan ortaya çıktı. 360Cert, kamuya açıklanmamış daha büyük saldırı vakaları olabileceğini söyledi.
Önümüzdeki dönemde 360 güvenlik ekibi Memcached'i DRDoS için kullanmanın daha fazla olayı beklemektedir.Bu saldırının etkisi diğer DDoS ekipleri tarafından taklit edilirse daha ciddi saldırılar getirecektir. Bu nedenle, 360 güvenlik uzmanları Memcache kullanıcıları için çeşitli önerilerde bulunur:
1. Memcache kullanıcıları, hizmetin güvenilir bir etki alanına yerleştirilmesini, harici bir ağ olduğunda 0.0.0.0 dinlememesini önerir, acl ayarlayabilir veya özel ihtiyaçlarınız varsa bir güvenlik grubu ekleyebilirsiniz.
2. Makine taraması ve ssrf gibi saldırıları önlemek için, memcache'nin varsayılan dinleme bağlantı noktasını değiştirin.
3. Memcache'nin en son sürümüne yükseltin ve izin kontrolü için bir parola belirlemek üzere SASL'yi kullanın.
Ağ katmanı savunmasıyla ilgili olarak, 360 güvenlik uzmanları, NTT dahil birçok yabancı ISP'nin UDP11211'i zaten kısıtladığını söyledi. Aynı zamanda, güvenlik uzmanları, İnternet servis sağlayıcılarının ağda IP sahtekarlığını yasaklaması gerektiğini söyledi. IP sahtekarlığı DRDoS'un temel nedeni. Belirli önlemler BCP38'e atıfta bulunabilir.
Ek olarak, güvenlik uzmanları, ISP'lerin, kullanıcıların büyük ölçekli DRDoS saldırıları sırasında tıkanıklığı azaltmak için gelen UDP11211 trafiğini kısıtlamak için BGP akış belirtimini kullanmalarına izin vermesi gerektiğini de öne sürüyor.
Ayrıntılı rapor adresi: Memcache'yi DDoS saldırıları için bir DRDoS yansıma yükselticisi olarak kullanma-360CERT
(Lütfen bağlantıyı dürtün)
