DDoS防御|从“Memcached反射攻击”剖析DDoS攻防领域的“道、法、术”

近日,利用Memcached服务器实施反射DDoS攻击的事件呈大幅上升趋势。根据CNCERT 最新发现显示,截止本周,已发现反射型攻击峰值流量高达1.94Tbps。

通过梳理反射型攻击的特点,以Memcached反射攻击为例,攻击者利用在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包(stats、set/get指令),使Memcached服务器向受害者IP地址反射返回比原始数据包大数倍的数据(理论最高可达5万倍,通过持续跟踪观察攻击流量平均放大倍数在100倍左右),从而进行反射攻击。针对主机层面的Memcached服务器相关配置防护只能避免服务器自身不被DDoS反射攻击利用,中新金盾作为连续十六年深耕DDoS攻防领域技术研究的专业厂商,给大家带来从DDoS攻防“道、法、术”层面的阐述技术干货,希望能给大家带来帮助。

一般而言,我们会根据针对的协议类型和攻击方式的不同,把DDoS攻击分成网络层攻击和应用层攻击两大类。

1520471336676753.png

1520471352296135.png

目前流行的攻击方式:

1520471365875051.png

Memcached反射攻击,其实就是属于UDP反射攻击的一种,它的特点不是防御难度高,而是因为放大倍数足够大,以至于黑客越来越容易发动大规模的DDoS攻击,我们可预判随着Memcached反射攻击方式被更多人利用,未来将面对常态化的T级攻击事件,中新金盾愿与您携手同行,共同面对大规模DDoS攻击。

我们从“道、法、术”的角度看DDoS攻击,对于攻击者来说,最终的“道”就是完成其政治目的、经济目的等各类动机,使用的“法”就是造成目标客户的出口带宽资源拥塞或业务及服务资源不可用,通过的“术”就是上述的各类型DDoS攻击方式。

自古“攻”和“防”都是对立的,我们既然从攻击者的角度看清楚了DDoS的本质,那么从“防”的角度中新金盾为客户提供了全新的“道、法、术”防御体系——安道者立体DDoS防御体系。

@ZXBTP)JNYFS)L`T[HEKJ%3.png

从DDoS攻防的“道”上,我们可以发现,在DDoS攻防博弈的过程实际上就是资源对抗的过程,短时间以小博大、以少胜多的无非是造成防御资源紧张,中新金盾安道者平台提供了分布式单点T级别,电信、联通、北方、南方拥有多个单点至少1T的防御节点,全网高达8Tb的全球范围内的防御节点,通过金盾云平台实时调度,在应对大规模资源对抗的DDoS场景,做到稳如泰山、坚如磐石的防御基础。


77)BQ[QKE524TO`C[`XI2UE.png

从DDoS攻防的“法”上,中新金盾安道者提供“云+端”一体化的防御理念,通过用户侧金盾硬件抗D端设备与金盾云平台一体化联动防御的策略,在大规模攻击过来时,用户侧硬件与金盾云平台实时联动配合,将大流量牵引至云端各个分布式清洗节点,由各个节点进行实时清洗,最终再将首次过滤后的流量回送至用户侧硬件设备,本地硬件设备再针对应用层攻击流量做二次精细化清洗,最终将干净的流量传送至业务服务器;整个过程,秒级调度实现了弹性、灵活的应对各类型的反射型、流量型攻击,并且做到全网8T级别的防御响应“快”、防御策略“准”、清洗效果“好”的防御目标。

UYX0J1O7M0`5@4EO`Q1Y$8O.png

从DDoS攻防的“术”上,中新金盾通过在用户侧本地网络出口部署金盾单台最大520G的高防级专业硬件(规格覆盖1G-520G各类型客户群体,也可集群实现最高20T的抗D硬件能力),通过端和云平台的实时一体化联动,实现攻击过来时的阈值自动触发(即按需牵引)和持续型接入安道者防护的两种灵活防护方式,满足各类型企业客户、IDC客户群、行业客户群的需求;同时中新金盾将连续十五年在DDoS防御领域的核心技术积累融合到防御算法里面,针对新型扫段攻击、脉冲型攻击及应用层例如CC类攻击和慢速攻击等具有高效的防御效果。中新金盾-安道者防御体系可以为以上用户群提供如下收益:


云端联动、立体协防

中新网安首家推出云清洗及端设备一体化协同管理和实时联动的理念,当攻击流量超出端设备预设阈值时,可自动将流量牵引至云清洗中心,同时进行短信、邮件预警通知,并且能够统一管控云清洗服务及端设备安全策略配置,可根据自身防御需求进行更灵活的防护策略变更,突破传统单兵作战思路,最大化缓解混合DDoS攻击压力。

海量清洗,全面防御

中新网安拥有庞大的硬件清洗节点,全网清洗能力高达8Tb,所有的流量经过安道者云防护及硬件防御设备的多层策略,足以对任何形式的DDoS攻击完成瞬间清洗,确保用户的网站与服务器随时处于安全状态。

精细策略、独享定制

中新网安的端前金盾DDoS防护设备为用户提供7x24h不间断的定制化清洗,从目前最低1G到最高单台520G的专业硬件设备,覆盖各类体量的用户群体。用户根据自身不同业务需求在端设备上部署高效、针对性的精细化、细颗粒的防护策略及功能插件,同时通过独享的金盾专家1对1服务及自助式的防护平台入口,有效防护各种复杂应用层攻击,并大量避免传统单一云防护所存在的误杀误判风险。

秒级调度、快速响应

中新网安在全球数十个百G以上的机房建立分布式清洗节点,在国内实现电信、联通、北方、南方多个单点1T的防御能力;独创的智能流量调度系统,能将各类型攻击流量以秒级响应速度分散到整个安全防御网络之中消化,从而降低单个节点的防御压力。

精准断源、态势感知

中新网安与CERT、运营商、IDC及互联网企业联动合作,对恶意网络攻击行为进行特征提取,精准定位攻击源头,并根据攻击源类型采用针对性的主动防御,在遭受重大损失时还可通过溯源技术提取电子证据,作为法律武器给予攻击者有效打击。

巧妙隐藏、按需接入

当企业的线上业务系统接入中新金盾抗拒服务攻击“云+端”立体防御平台-安道者之后,网站所有的主机IP地址就被从互联网上隐藏,所有对原网站的扫描变成对防护节点的扫描,对于不明目的的扫描中新网安清洗节点会进行过滤,从而减少黑客对源站的入侵可能性。

通过以上分析,我们的客户接入安道者“云+端”立体防御平台以后,中新金盾帮助各类客户群(IDC、运营商、互联网企业、政府、金融、能源、教育等)实现了既能满足大流量DDoS攻击防御能力,又能精细化防御应用层各类攻击,最擅长防御混合型、新型各类DDoS攻击,让我们的用户在今后面对更严峻的T级别、常态化的DDoS攻击的时候,可以从容面对,安枕无忧。