新闻中心
什么是内存缓存 DDoS 攻击?如何防护内存缓存攻击?
2022-06-13
阅读()
来源:互联数据

世界上很多大型网站,例如Facebook, Flickr, Twitter, Reddit, YouTube, Github都使用的一种技术就是DDOS缓存服务器。主要作用就是,运用DDOS缓存技术处理的动态网页应用可以减轻网站数据库的压力,当这些网站出现大规模的连接请求时可以快速从内存中打开提高网站的打开速度。让网站管理员可以进一步提升网站的性能。


一、什么是内存缓存 DDoS 攻击?


内存缓存分布式拒绝服务 (DDoS) 攻击也叫memcached DDOS是一种网络攻击,攻击者试图使目标受害者的网络流量超载。攻击者将欺骗性的请求发送到易受攻击的 UDP 内存缓存*服务器,该服务器随后向目标受害者发送互联网流量,从而可能使受害者的资源不堪重负。当目标的互联网基础设施过载时,就无法处理新请求,而常规流量也无法访问互联网资源,从而导致拒绝服务。

什么是内存缓存 DDoS 攻击

内存缓存攻击的工作原理:


内存缓存攻击的工作方式类似于所有 DDoS 放大攻击,例如 NTP 放大和 DNS 放大。这种攻击欺骗性请求发送到易受攻击的服务器,该服务器随后会发出比初始请求大的数据量作为响应,因此放大了流量。


内存缓存放大攻击就好比是前段时间恶意打假“我要150份扣肉,然后举报是三无产品”。当向法院提起诉讼时,他却给出目标受害者的联系地址。然后,目标会收到来自社会的谴责,接到他们未请求的大量骚扰辱骂信息。


这种放大攻击的方法之所以成为可能,因为内存缓存服务器可以选择使用 UDP 协议进行操作。UDP 是一种网络协议,允许在不首先获得所谓握手的情况下发送数据 – 握手是指双方都同意通信的网络过程。之所以使用 UDP,是因为不用咨询目标主机是否愿意接收数据,无需事先征得它们的同意,就可以将大量数据发送给目标主机。


内存缓存 DDoS 攻击防御手段:http://www.hkt4.com/security/ddos.html


内存缓存攻击分为 4 个步骤:


1、攻击者将大量数据有效载荷*植入暴露的内存缓存服务器上。


2、接下来,攻击者使用目标受害者的 IP 地址伪造 HTTP GET 请求。


3、带有漏洞的内存缓存服务器接收到请求,试图通过响应来提供帮助,因此将大量响应发送到目标。


4、目标服务器或其周围的基础设施无法处理从内存缓存服务器发送的大量数据,因此导致过载和对正常请求拒绝服务。


内存缓存放大攻击的规模可以达到多大?


这种攻击的放大倍数十分惊人;在实践中,我们见过高达 51,200 倍的放大倍数!这意味着对于 15 字节的请求,可以发送 750 kB 的响应。这是一个巨大的放大倍数,无法承受如此大量攻击流量的 Web 资产则面临巨大的安全风险。巨大的放大倍数加上带有漏洞的服务器使内存缓存放大攻击成为攻击者针对各种目标发起 DDoS 攻击的主要用例。

内存缓存 DDoS 攻击

二、如何防护内存缓存攻击?


// 1、禁用 UDP – 对于内存缓存服务器,请确保在不需要时禁用 UDP 支持。默认情况下,内存缓存启用了 UDP 支持,这可能会使服务器容易受到攻击。


// 2、对内存缓存服务器进行防火墙保护 – 通过在内存缓存服务器和互联网之间添加防火墙保护,系统管理员可以根据需要使用 UDP,而不必暴露于风险中。


// 3、防止 IP 欺骗 – 只要可以伪造 IP 地址,DDoS 攻击就可以利用此漏洞将流量定向到受害者的网络。防止 IP 欺骗是一个规模较大的解决方案,无法由特定的系统管理员实施,它要求传输提供商禁止源 IP 地址源自网络外部的任何数据包离开其网络。换句话说,互联网服务提供商 (ISP) 之类的公司必须筛选流量,以使离开其网络的数据包不得假装成来自其他地方的其他网络。如果所有主要的传输提供商都实施了这种筛选,基于欺骗的攻击将在一夜之间消失。


// 4、开发具有减少 UDP 响应的软件 – 消除放大攻击的另一种方法是去除任何传入请求的放大因素;如果由于 UDP 请求而发送的响应数据小于或等于初始请求,则放大就不复可能。


互联数据高防CDN主要是适用于网站业务,防御策略是将网站内容分发至多个云端高防节点,来防御所有大流量DDoS、完全过滤极端变种、穿盾、模拟等异常CC攻击行为,隐藏源站IP,智能节点近源调度,全线路CN2带宽,给予客户极速的访问体验。

相关阅读