DDoS三宗罪:不安全的Memcached服务器、POC代码漏洞和伪造IP

Posted on April 23, 2018 at 8:23 AM

DDoS三宗罪:不安全的Memcached服务器、POC代码漏洞和伪造IP

很难想象最近的一些大规模DDoS攻击事件,如Github.com网站被黑,美国公司主站遭到1.7Tbps的超大流量攻击,背后是由看似薄弱的分布式缓存系统搞的猫腻。

对于绝大多数人来说,很难将分布式缓存系统,这种低配的服务器和大型的DDoS攻击建立起联系。但是,这的的确确已经被铁证。超过17000个不安全的服务器已经被沦为肉鸡,完全受控于幕后操作的黑客。只需要具备基本的编程和脚本操作的知识,就可以进行DDoS攻击,门槛之低让人惊讶,这无疑是极大的增加了大规模DDoS攻击的风险。

PoC代码漏洞的三把刀在不同的日期以不同的形式发布。第一部分是C语言编写的,包含了17000个服务器的后门。第二部分是python编写的工具,由@37开发,该工具依靠Shodan搜索检索在肉鸡服务器。第三部分就是通过这些服务器发送虚假的UDP数据包,最新的POC代码漏洞已经在Twitter 3月3日发布,这次是通过@the_ens发布出来的。

Memcached服务器最初使用做Web的内容缓存,它们有助于提高动态数据库网站的本地解析速度,降低传统基于内存缓存系统的服务器负载。由于缓存器存储了经常需要被访问的数据,就避免多次访问源服务器,并降低检索下载资源的频度。

Memcached服务器采用开源的软件架构和标准服务器硬件相结合的模式,具有可提供大型内存空间的特点。

但Memcached服务器也同样非常脆弱,原因是UDP协议本身有缺陷,它允许任何人都可以获取到报文信息,这意味着可以利用它肆无忌惮的发起DDoS攻击。

研究人员表明,Memcached服务器也可能充当着DDoS攻击放大器的作用。攻击通常使用的是11211端口分布式缓存协议,它也被称作攻击放大的罪魁祸首。

攻击者也使用IP欺骗来开始大规模攻击,DDoS攻击情况发生开始,一般都会引入大量的假的IP地址进行响应。其目的是隐蔽了发布攻击的服务器地址,使攻击源得到保护。这也很好的解释了GitHub.com的攻击事件的成因。

大多数易受攻击的Memcached服务器位于北美和欧洲。全球总数可能高达88000台,他们极大的提高了网络安全的风险系数,也是DDoS攻击全球化趋势的重大隐患。


Related Stories:

Newsletter

Get the latest stories straight
into your inbox!

%d bloggers like this: