我们在之前的文章中已经提及,Memcache DRDoS 自从被360 0kee team首次公开批露以来,在过去的9个月中在网络上都不活跃。但是最近十天以来,Memcache DRDoS 在现网中的攻击越来越频繁,所制造的攻击流量也在不断刷新,当前最新的公开记录已经到了 1.7Tbps 。 关于这种攻击方式,目前还有很多问题等待回答。例如,到底已经有多少受害者、攻击中所使用的反射点到底有多少、实际发生的反射放大倍数是多少,等等。通过回答这些问题,我们可以充分描述当前总体态势,有助于安全社区理解这种新的DDoS攻击方式。 为此我们在 Memcache DRDoS 在 DDoSMon 上建立了一个 实时页面 ,展示我们看到的相关DDoS攻击情况,供安全社区参考。 总体趋势上面两图展示了每天中发生的攻击事件次数。可以看出,从2018-02-24开始,这种攻击在几天内快速发展。我们暂且将时间划分为下面这些阶段:
上图是每日活跃(即实际参与了攻击的)的反射点数量。从2018-02-24 快速增长以后,每日活跃的反射点数量一直稳定。 我们还挑选了 03-07 当天的15k个活跃反射点进行了实际测试。其中 15% 的反射点回应了我们用来探测的stats命令,确实拥有参与实际攻击的能力。15% 这个比例看起来比例较低,考虑到可能当前这些服务器的带宽已经接近耗尽或者接近ISP设定上限,也许需要多次测量来确认实际情况。 受害者案例在过去这些天中,已经有一些主要的网站成为这种攻击方式的受害者。例如,github 在 2018-02-28 17:20 GMT附近,遭遇了一次DDoS攻击,其流量峰值达到 1.3Tbps,或者126.9mpps(百万包/秒)。 akamai 和 github 均发布了文档描述此事件。 在 DDoSMon 上,我们能看到 www.github.com 这个域名在2018-03-01 和 2018-03-02 遭受了两次攻击,前者就是上文提到的那次攻击:
实际攻击中使用到的 memcache stats 指令并不能制造 50k 的放大倍数我们为这种攻击方式搭建了服务蜜罐,并采集到了超过 37k 次攻击指令(请求包)。 如下表所示,99% 的攻击指令都是基于 memcache stats 指令。 我们在上一篇文章中提到,我们对实际环境中的实际放大倍数做了测试。在那个测试中,我们利用 stats 指令能获得的放大倍数在几十倍左右。 受害者列表这7天中,我们的DDoSMon平台记录了:
为了使得结果更加可读,我们使用了PDNS 数据把受害者IP映射回他们的域名。这些IP中,有 981(13%) 个最近一周内有过域名解析,有1.5k(22%) 个历史上有过域名解析。 我们将这些有DNS域名解析的受害者,分别选择位于Alexa和float排名前1百万的,制作了两个列表。 下面是位于 Alexa 排名前1百万的受害者。需要指出我们只保留了SLD而非全部FQDN,所以表格中虽然列出了 a.com ,但实际上受攻击的可能是 xyz.a.com。 target_ip rank belongs to sld 59.37.97.93 9 qq.com 182.254.79.46 9 qq.com 36.110.213.82 21 360.cn 216.18.168.16 32 pornhub.com 192.30.255.113 74 github.com 192.30.253.125 74 github.com 192.30.253.113 74 github.com 192.30.253.112 74 github.com 151.101.128.84 80 pinterest.com 104.155.208.139 112 googleusercontent.com 下面是位于 float 排名前1百万的受害者。float 是我们内部的一个工具,主要使用中国大陆地区访问数据评估域名流行度。使用float排名时的一个好处是该排名基于FQDN,这样我们就不需要再次映射到 SLD,这样比较方便。 target_ip rank fqdn 115.239.211.112 12 www.a.shifen.com 182.254.79.46 21 mp.weixin.qq.com 59.37.97.93 464 pingma.qq.com 114.80.223.177 587 interface.hdslb.net 47.91.19.168 587 interface.hdslb.net 222.186.35.81 587 interface.hdslb.net 114.80.223.172 587 interface.hdslb.net 140.205.32.8 867 sh.wagbridge.aliyun.com.gds.alibabadns.com 114.80.223.177 1052 bilibili.hdslb.net 47.91.19.168 1052 bilibili.hdslb.net 观察这个列表可以看到一些有意思的受害者,例如:
下面是受害者的地理分布: 以及ASN 分布: 总体而言,当前的受害者主要集中在美国、中国(含中国香港)、韩国、巴西、法国、德国、英国、加拿大、荷兰。 这些攻击事件中涉及的反射点/memcache 服务器在继续分析这些攻击事件中涉及的反射点之前,我们必须指出:
通过对所有反射点的分析,我们发现共有 62k 个反射点已经参与真实攻击事件。其中前20 的ASN 列表如下: 这些排名最靠前的20个ASN也仅能覆盖大约 53% 的活跃反射点,还有大约29k(47%)的反射点分布在其他 2.8k 个ASN中,如下表所示: 因此:
在文章的结尾,我们很高兴的注意到 memcached 的服务的开发者已经在 3月3日,提交 代码 缺省关闭了 memcache 的UDP监听端口。 原文:netlab |