Memcached 可以加快網站速度,但是 Memcached 伺服器也可能被利用來執行 DDoS 攻擊。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
Memcached 分散式阻斷服務 (DDoS) 攻擊是一種網路攻擊,其中攻擊者試圖使用網際網路流量使目標受害者的機器過載。攻擊者將欺騙性的請求傳送到易受攻擊的 UDP Memcached* 伺服器,該伺服器隨後向目標受害者傳送大量網際網路流量,從而可能使受害者的資源不堪重負。當目標的網際網路基礎結構過載時,就無法處理新請求,而常規流量也無法存取網際網路資源,從而導致阻斷服務。
*Memcached 是用於加速網站和網路的資料庫快取系統。
以下是 Cloudflare 全球網路中的資料中心,以及它們在最近一次攻擊期間收到的 Memcached 攻擊流量的相對數量。
Memcached 攻擊的運作方式類似於所有 DDoS 放大攻擊,例如 NTP 放大和 DNS 放大攻擊。攻擊的運作方式是向易受攻擊的伺服器傳送欺騙性請求,然後該伺服器回應比初始請求更多的資料量,從而放大流量。
Memcached 放大可比作一個懷有惡意的青少年打電話給一個餐廳說:「我要每樣東西都點一份,請給我回電並告訴我整個訂單的內容。」餐廳要求提供回撥號碼時,所給號碼就是目標受害人的電話號碼。然後目標會接到來自餐廳的電話,提供其并未請求的大量信息。
這種放大攻擊方法是可能的,因為 Memcached 伺服器可以選擇使用 UDP 通訊協定進行運作。UDP 是一種網路通訊協定,允許在不首先進行交握(交握是指雙方都同意通訊的網路過程)的情況下傳送資料。之所以使用 UDP,是因為不用諮詢目標主機是否願意接收資料,無需事先徵得它們的同意,就可以將大量資料傳送給目標主機。
Memcached 攻擊分為 4 個步驟:
這是正在緩解一次針對 Cloudflare 網路的每秒 260 GB 的 Memcached 攻擊的情況
這種類型的攻擊的放大係數確實令人驚嘆;在實際中,我們目睹了高達 51,200 倍的放大係數!這意味著,對於一個 15 個位元組的請求,可能傳送一個 750 kB 的回應響。這是一個巨大的放大係數,無法承受如此大量攻擊流量的 Web 資產將面臨巨大的安全風險。如此巨大的放大係數加上易受攻擊的伺服器,使 Memcached 成為希望針對各種目標啟動 DDoS 的攻擊者的主要使用案例。
Cloudflare 在我們的網路邊緣篩選 UDP 流量,消除此類放大攻擊所帶來的風險。探索 Cloudflare 的進階 DDoS 防護。
如需更深入的瞭解 Cloudflare 遇到 Memcached 攻擊以及用於緩解的具體命令和程序,請閱讀部落格文章 Memcrashed - 來自 UDP 連接埠 11211 的大規模放大攻擊。