Cloudflare发现黑客锁定Memcached,发出伪造的请求,经过的Memcached的UDP端口展开反射性的放大攻击流量,使被攻击的目标瘫痪服务,最高攻击流量接近260Gbps。
内容发送网络供应商Cloudflare本周警告,他们发现这几天黑客开始利用Memcached分布式缓存系统的UDP(User Datagram Protocol,用户数据报通信协定)的通信端口发动分布式拒绝服务( DDoS)攻击,最大的攻击流量接近260Gbps。
黑客是利用Memcached的UDP端口展开反射性的放大攻击,所谓的放大攻击是黑客发送伪造的请求到激活UDP的大量服务器上,这些服务器通常不知道请求是伪造的,而会如实地准备回应,但回应的对象却是黑客所指定的网域,且回应封包远大于请求封包,造成目标网域的资源用罄,进而中断服务。
Cloudflare指出,这几天他们发现了锁定Memcached之UDP端口的主要攻击行动,黑客每秒发送2300万个封包至Memcached服务器上,而大多数的回应封包为1400个字节(Byte),计算之后其每秒将占用257Gb的带宽。
Cloudflare工程师Marek Majkowski表示,UDP是最容易用来执行放大攻击的协定之一,只要送出15 bytes的请求封包就能换来134KB或更大的回应封包,放大率超过1万倍。
在最近的攻击中,黑客利用了网络上的5,729个Memcached服务器,主要集中在北美与欧洲,Cloudflare也预期黑客的攻击行动可能进一步扩大,因为Shodan查找显示全球约有8.8万个开放的Memcached服务器,其中,美国占了2.5万台,中国也占了1.9万台。
Majkowski建议不使用UDP的Memcached用户应直接关闭该通信端口,或确保自己的Memcached服务器受到防火墙的保护,也提醒开发人员最好不要使用UDP,就算不得不用,也不应默认为激活状态,并应严格限制回应封包的大小,以免成为黑客执行DDoS攻击的帮凶。