什么是内存缓存 DDoS 攻击 如何防护内存缓存攻击
文字出处:五九盾网络 | 责任编辑:五九盾网络 | 发布时间:2022-10-12 10:24:47
DDOS 缓存服务器是世界上许多大型网站(如 Facebook、Flickr、Twitter、Reddit、YouTube、Github)使用的一项技术。主要作用是利用DDOS缓存技术处理的动态网页应用,可以减轻网站数据库的压力,当这些网站出现大规模连接请求时,可以快速从内存中打开,提高网站的打开速度。允许网站管理员进一步提高其网站的性能。
1、什么是内存缓存DDoS攻击?
Memcached 分布式拒绝服务 (DDoS) 攻击也称为 memcached DDOS,是一种网络攻击,攻击者试图使目标受害者的网络流量过载。攻击者将欺骗性请求发送到易受攻击的 UDP memcache* 服务器,然后该服务器将互联网流量发送到目标受害者,可能会压倒受害者的资源。当目标的互联网基础设施过载时,无法处理新请求,常规流量无法访问互联网资源,从而导致拒绝服务。
内存缓存攻击的工作原理:
Memcached 攻击与所有 DDoS 放大攻击一样工作,例如 NTP 放大和 DNS 放大。这种攻击向易受攻击的服务器发送欺骗性请求,然后该服务器会以比初始请求更多的数据进行响应,从而放大流量。
内存缓存放大攻击就像前段时间恶意打假,“我要150块肉,然后举报为三无产品”。在向法院提起诉讼时,他给出了目标受害者的联系地址。然后,目标受到社区的谴责,收到大量骚扰和辱骂信息,但他们并没有要求。
这种放大攻击的方法是可能的,因为 memcached 服务器可以选择使用 UDP 协议进行操作。 UDP是一个一种网络协议,允许在不首先获得所谓的握手的情况下发送数据 - 双方同意进行通信的网络过程。使用 UDP 是因为如果目标主机愿意接收数据并且事先未征得其同意,则可以在不咨询目标主机的情况下向目标主机发送大量数据。
Memcached DDoS攻击防御:/security/ddos.html
内存缓存攻击分为4个步骤:
1. 攻击者在暴露的内存缓存服务器上植入大量数据有效载荷*。
2. 接下来,攻击者使用目标受害者的 IP 地址伪造一个 HTTP GET 请求。
3. 易受攻击的memcached服务器接收到请求,试图通过响应来提供帮助,因此向目标发送大量响应。
4、目标服务器或其周边基础设施无法处理memcached服务器发送的大量数据,从而导致对正常请求的过载和拒绝服务。
内存缓存放大攻击能有多大?
这次攻击的放大倍数是惊人的;在实践中,我们已经看到了高达 51,200 倍的放大倍率!这意味着对于一个 15 字节的请求,可以发送一个 750 kB 的响应。这是一个巨大的乘数,无法承受如此大量攻击流量的网络资产面临着巨大的安全风险。巨大的放大倍数与易受攻击的服务器相结合,使 memcached 放大成为攻击者对各种目标发起 DDoS 攻击的主要用例。
2.如何防范内存缓存攻击
// 1. 禁用 UDP - 对于 memcached 服务器,确保在不需要时禁用 UDP 支持。默认情况下,memcached 启用了 UDP 支持,这可能使服务器容易受到攻击。
// 2. memcached 服务器的防火墙保护——通过在memcached 服务器和Internet 之间添加防火墙保护,系统管理员可以根据需要使用UDP 而不会面临风险。
// 3. 防止 IP 欺骗 - 只要 IP 地址可以被伪造,DDoS 攻击就可以利用此漏洞将流量引导到受害者的网络。防止 IP 欺骗是一个更大规模的解决方案,无法由特定的系统管理员实施,并且要求传输提供商防止任何来自网络外部的源 IP 地址的数据包离开其网络。换句话说,互联网服务提供商 (ISP) 等公司必须对流量进行筛选,以使离开其网络的数据包不能假装来自其他地方的其他网络。如果所有主要的运输提供商都实施了这种筛选,基于欺骗的攻击将在一夜之间消失。
// 4. 开发减少 UDP 响应的软件 - 另一种消除放大攻击的方法是去除任何传入请求的放大因子;如果由于UDP请求发送的响应数据小于或等于初始请求,则放大是不可能的。
Internet Data Anti-DDoS Pro主要适用于网站业务。防御策略是将网站内容分发到多个云防DDoS节点,防御所有大流量DDoS,彻底过滤极端变种、刺穿盾牌、模拟等异常CC攻击行为,隐藏源头。站台IP、智能节点近源调度、全线CN2带宽,给客户极快的接入体验。