[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击
报告编号: B6-2018-030102
报告来源: 360CERT
报告作者: 360信息安全部0kee Team,360netlab,360CERT
更新日期: 2018-03-01
事件背景
近日,我们看到一种利用Memcache作为DRDoS放大器进行放大的DDoS攻击,其利用memcached协议,发送大量带有被害者IP地址的UDP数据包给放大器主机,然后放大器主机对伪造的IP地址源做出大量回应,形成分布式拒绝服务攻击,从而形成DRDoS反射。
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/810f4c01-8831-4a75-96ec-dc94eff48e0c.png "810f4c01-8831-4a75-96ec-dc94eff48e0c.png")
早在2017年6月,360信息安全部0kee Team就发现了这种利用Memcache放大的攻击技术,并通过PoC2017安全会议对安全社区做出了预警。
事件影响面
漏洞风险等级高,影响广泛:
在外开放的memcache存储系统
Memcache全网服务预估:
通过360CERT QUAKE全网测绘显示,在外开放的Memcache存储系统有94489,在十万量级上下
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/5d31d92f-c267-4967-8950-32102f7774ea.png "5d31d92f-c267-4967-8950-32102f7774ea.png")
其中美国最多,占38899,中国次之,占22944:
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/e8c029df-b339-465b-984e-81ba667b0de9.png "e8c029df-b339-465b-984e-81ba667b0de9.png")
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/10c42b08-aa43-4edd-80f3-85b832f47794.png "10c42b08-aa43-4edd-80f3-85b832f47794.png")
国内情况,香港地区数量最多,分布如下:
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/7c5125f2-cb8d-48fd-9f59-b3abe6b26563.png "7c5125f2-cb8d-48fd-9f59-b3abe6b26563.png")
攻击强度:
通过360netlab DDoSMon监测, 近期内Memcrashed事件攻击情况如下
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/50717954-3e42-4caa-9673-d662f027509c.png "50717954-3e42-4caa-9673-d662f027509c.png")
由于Memcache作为放大器数量稳定,近几天攻击开始陡增,且生成带宽极大
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/6b2f69f0-ef8d-45d5-8796-808b39745e9d.png "6b2f69f0-ef8d-45d5-8796-808b39745e9d.png")
影响范围:
通过360信息安全部0kee Team提供的数据可知可能存在memcached反射器的全球ASN top20 如下
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/eccedc39-cde2-4f8f-a52c-507f21e74d80.jpg "eccedc39-cde2-4f8f-a52c-507f21e74d80.jpg")
从上述ASN信息上看,可简单分为如下几类:
ec2: aliyun,tencent,aws,azure,google cloud
vps: digital ocean,linode,vultr,godaddy
dedicated server: ovh,online
idc
全球memcached国家分布如下
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/9b4f5b97-d815-4ab3-8ac3-ca950fd93394.jpg "9b4f5b97-d815-4ab3-8ac3-ca950fd93394.jpg")
从国家分布上看:
中美都是名列前茅,因为其体量和基数都是比较全世界份额较高
360CERT QUAKE全网测绘中,开放主机数量上,美国第一,中国第二,但受影响的数量却相反
漏洞细节
关于DDoS放大:
作为攻击者,需要伪造IP。发送海海量量伪造来源的请求。未采取BCP38的机房(firewallrules and uRPF)。
作为反射服务器,需要满足2个条件,第一,上面运行着容易放大的的udp协议,即使用不当或设计不当的udp服务,能够满足特定条件下,响应包远远大于请求包。第二,该协议或服务在互联网上有一定的使用量,如dns,ntp等基础服务。
受害者,由于ddos的意图,受害者一般是金融,游戏,政治等目标,或出于破坏,炫技等目的。
关于Memcrashed:
由于Memcache同时监听TCP和UDP,天然满足反射DDoS条件。
Memcache作为企业应用组建,其业务特性保证了具有较高上传带宽。
Memcache不需要认证即可进行交互。
很多用户在编译安装时,将服务错误监听在
0.0.0.0,且未进行iptables规则配置或云安全租户配置。攻击流程:
扫描全网端口服务。
进行指纹识别,获取未认证的Memcache。
过滤所有可以反射的UDP Memcache。
插入数据状态进行反射。
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/e3c2dc6e-97b4-4b3c-b3b8-bd6c7c4c59fe.png "e3c2dc6e-97b4-4b3c-b3b8-bd6c7c4c59fe.png")
攻击效果: 如360信息安全部0kee Team之前在社区所言,单台发送最高达到了
816200,最低也有382099
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/c5e69596-3717-4919-bb39-18e285072620.png "c5e69596-3717-4919-bb39-18e285072620.png")
我们随机选择一台可利用主机,进行实际测试,目标为我们自己的AWS ec2,发现在实际情况中,单台反射流量达到了700m/s,稳定500m/s,通过之前的研究,全网可利用主机数量在5万以上量级。
![[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击](http://www.360zhijia.com/wp-content/uploads/2018/03/01/546a8603-42fd-4c72-9e8d-5b354fe7de4d.png "546a8603-42fd-4c72-9e8d-5b354fe7de4d.png")
缓解措施
对于Memcache使用者
memcache的用户建议将服务放置于可信域内,有外网时不要监听
0.0.0.0,有特殊需求可以设置acl或者添加安全组。为预防机器器扫描和ssrf等攻击,修改memcache默认监听端口。
升级到最新版本的memcache,并且使用SASL设置密码来进行权限控制。
对于网络层防御
多个ISP已经对UDP11211进行限速。
打击攻击源:互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。
ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。
总结
本次Memcrashed技术特点:
反射倍数较大,已经确认可以稳定的达到5万倍
反射点带宽充裕,且主要来自IDC机房服务器
本次Memcrashed攻击特点:
反射点分布,中国占较大比例(43%)
攻击频率,最近一周(2018-02-24日开始)突然上升了一个数量级。之前约 <50 件/天,当前约 300~400 件/天
实际现网中,已经出现了 0.5Tbps 的攻击,并且我们相信有更大的攻击案例并未被公开报道
在接下来的一段时间内,我们预计会出现更多利用memcached进行DRDoS的事件,如果本次攻击效果被其他DDoS团队所效仿,将会带来后果更严重的攻击。
时间线
2017-06-30至2017-06-30 360信息安全部0kee Team研究发现Memcache反射攻击技术
2017-11-05至2017-11-05 360信息安全部0kee Team于PoC2017演讲并向社区预警该问题
2018-03-01至2018-03-01 360CERT对Memcrashed发出预警公告
