返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
1.35T memcrashed DDoS放大攻击! 绿盟提防护建议
2018-03-05 IT运维网 / 转载

      3月1日,githubengineering公告了周三GitHub遭遇了 memcrashed DDoS放大攻击,流量峰值达到1.35Tbps,如下为其文章内容。

      2018年2月28日星期三由于分布式拒绝服务 DDoS攻击 ,GitHub.com从UTC时间17:21至17:26不可用,并且从17:26至17:30 UTC间歇性不可用。 我们了解您对GitHub的依赖程度,我们知道我们服务的可用性对我们的用户至关重要。 需要注意的是,您的数据的机密性或完整性不存在风险。 我们对此事件的影响感到抱歉,并希望描述事件,我们为推动可用性所做的努力,以及我们如何旨在改善前进中的响应和缓解。

2月28日的DDoS事件报告

背景

      Cloudflare在本周的博客文章中描述了一种在UDP上使用 memcached 的扩增向量, “Memcrashed - 来自UDP端口11211的主要放大攻击” 。 攻击通过滥用在启用UDP支持的情况下无意访问公共Internet上的memcached实例。欺骗IP地址允许memcached的响应针对另一个地址,比如用于服务GitHub.com的地址,并向目标发送更多数据,而不是由未打开的源发送。 由于放大因子高达51,000,这意味着对于攻击者发送的每个字节,最多可向目标发送51KB的数据,因此在该文章中描述的通过配置错误配置的漏洞有点独特。

      在过去的一年中,我们已经为我们的设施部署了额外的过境。 在此期间,我们的流量能力增加了一倍以上,这使我们能够承受一定的流量攻击,而不会对用户造成影响。 我们正在继续部署额外的运输能力,并在各种交易所之间开发强大的对等关系。即使如此,这样的攻击有时需要拥有较大交通网络的合作伙伴的帮助才能提供拦截和过滤。

事件

      2月28日17:21至17:30 UTC之间,我们发现并减轻了大量的DDoS攻击。 这次攻击来自成千上万个独特端点上千多个不同的自治系统(ASN)。 这是一种使用上述基于memcached的方法的放大攻击,通过每秒1.269亿个数据包以1.35Tbps的速度达到峰值。

      在17:21 UTC,我们的网络监控系统检测到入口与出口流量的比例异常,并通知我们的聊天系统中的随叫随到的工程师和其他人。 此图显示了传输链路上的入站与出站吞吐量:

      考虑到我们的一家工厂的入站传输带宽超过100Gbps,决定将流量转移到Akamai,后者可以提供额外的边缘网络容量。 在UTC时间17:26,我们通过ChatOps工具启动该命令,以便通过运输提供商撤销BGP通告,并 仅通过我们与Akamai的链接 宣布 AS36459 。 在接下来的几分钟内路线重新聚合,并且访问控制列表缓解了其边界处的攻击。 监控传输带宽级别和负载平衡器响应代码在UTC 17:30表示完全恢复。 在17:34 UTC的互联网交换路线被撤销,作为后续行动,将额外的40Gbps移出我们的边缘。

      攻击的第一部分达到了1.35Tbps,并且在18:00 UTC之后还有一小部分是400Gbps的峰值。 Akamai提供的这张图表显示了以每秒比特数达到其边缘的入站流量:

下一步

      使GitHub的边缘基础设施更能适应当前和未来互联网的条件,并且更少地依赖于人的参与,这需要更好的自动化干预。 我们正在研究如何使用我们的监控基础设施来自动化启用 DDoS缓解 提供商,并将继续衡量我们对此类事件的响应时间,目标是缩短平均恢复时间(MTTR)。

      我们将继续扩展我们的边缘网络,并努力在新的攻击媒介影响您在GitHub.com上的工作流程之前识别并缓解新的攻击媒介。

      我们知道您依靠GitHub为您的项目和企业取得成功有多少。 我们将继续分析影响我们可用性的这些事件和其他事件,建立更好的检测系统并简化响应。

      本文原始链接:https://githubengineering.com/ddos-incident-report/

 

绿盟科技发布Memcached DRDoS攻击预警

      Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。提高Web应用的响应速度,Memcached服务器通过开放11211端口供客户端进行访问,然而,一方面由于Memcached 主要作为缓存中间件,缺乏访问控制,另一方面也由于在编译安装时配置了不安全监听IP(如0.0.0.0),若Memcached服务暴露于互联网上且未设置iptables访问控制,攻击者则可轻易利用上述条件发起分布式拒绝服务放大攻击。

      根据 绿盟威胁情报中心NTI 数据显示,全球有10万多的Memcached服务器在互联网上开放,给予了攻击者极大的便利,请相关企业重点关注近期的DDos攻击事件,为保障您的业务安全稳定运行,也请关注绿盟科技最新通告信息,我们会对此事件持续关注,提供相关产品和服务解决方案。

防护建议

      DRDoS是英文“Distributed Reflection Denial of Service ”的缩写,中文意思是“分布式反射拒绝服务”。与DoS、DDoS不同,该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机,然后攻击主机对IP地址源做出大量回应,形成拒绝服务攻击。

      针对利用Memcached服务发起的DRDos攻击,绿盟科技建议从如下两个方面进行防护。

整体防护建议

      针对不同网络节点,绿盟科技建议:

  1. 针对发起反射攻击的僵尸网络 ,由于触发的源IP为反射攻击的目标IP,在路由器段设置urpf策略,能够过滤虚假源IP的报文,在发起端过滤触发反射攻击的报文;
  2. 在memcached 服务器前端 ,可通过深度检测过滤异常报文,防止memcached服务器成为反射器;;
  3. 在客户服务器前端 ,在网络边界处通过过滤UDP且源端口为11211的报文或者对UDP源端口进行限速的两种方法,保护服务器前端过滤反射攻击的报文;

Memcached服务器加固

      为避免相关企业所运行的Memcached服务被攻击者利用为反射端,建议对Memcached服务进行安全检查和加固。若Memcached服务不需要监听UDP,可在做好数据备份的前提下,对Memcached服务添加“-U 0”重启禁用UDP(默认情况下,Memcached会侦听INADDR_ANY,并默认启用UDP)。详情可参考Memcached官方说明文档: https://github.com/memcached/memcached/wiki/ConfiguringServer#udp

防护Memcached DRDos攻击

      利用Memcached可以相对容易发起超大流量DDoS攻击,防御Memcached攻击需要储备足够的带宽。 企业用户可在网络边界出封禁 UDP 源端口为11211 的报文进行临时防护。

      如果遇到大流量反射攻击,建议通过流量清洗设备(如ADS —绿盟抗拒绝服务系统)或者云清洗服务的方式进行防护。同样,通过运营商进行封堵端口或者限速的方式也可以解决DRDos 攻击。

转自:http://toutiao.secjia.com/github-memcrashed-ddos

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读