开破纪录的DDOS要容易得多

由于公开发布了两个现成的漏洞,滥用安全性差的memcached服务器,以创纪录的垃圾流量淹没目标,发动规模一度难以想象的分布式拒绝服务攻击变得更加容易。

正如Ars上周报道的那样,ddoservers上个月开始从所谓的memcached服务器上弹出专门开发的流量,memcached服务器随后以数千倍于原始有效负载大小的恶意攻击目标第三方作为响应。攻击者长期以来一直使用这种放大技术来放大或扩大他们控制的计算机造成的损害。基于memcached的攻击的特别之处在于放大的大小——多达5.1万倍,相比之下,以前看到的技术大约是50到60倍。攻击的工作方式是向离开开放端口11211的服务器发送请求,并添加欺骗数据包报头,使响应发送到目标。

进一步阅读Github service provider是历史上最大的DDoS,在这项新技术上市的几天里,安全公司报告说,它被用于创纪录的每秒1.3兆字节的DDoS攻击Github,两天后,又被用于创纪录的1.7兆字节攻击一家未具名的美国服务提供商。

现在,有两个单独的漏洞大大降低了发动这些新型攻击的难度。第一个叫memcrash,提示用户输入目标IP地址。然后它会自动使用Shodan搜索引擎来定位不安全的memcached服务器,并滥用它们来淹没目标。这是一个显示界面的截屏:

第二个已发布的漏洞利用依赖于这个由17000个不安全的memcached服务器组成的静态列表来攻击目标。在这篇文章上线时,名单上一次更新是在周二。

Drawing attentionmemscrash的代码内置了两秒钟的延迟,这使得它无法被用来发动最近在野外出现的破纪录攻击。但剥削作家埃米尔·哈沙亚尔·穆罕默迪告诉Ars说,如果有人想利用这个代码进行恶意攻击,那么就很难绕过这个费率限制。穆罕默迪在一封电子邮件中写道:「X1CS > 不过,这不是我的意图。」我的意图是在这里引起更多的关注。这样,拥有这些服务器的供应商可以将它们从互联网上取下,或者至少关闭端口11211或者禁用UDP。我从来没有打算对恶意使用的东西进行编码,所以我在发现漏洞后一周就发布了代码(这是我书中的宽限期)。

Memcached是一个开源的分布式内存缓存系统,旨在加快网站和云网络的速度。安全专家自上周以来就注意到,管理员未能妥善保护大约九万三千台此类服务器,对整个互联网的稳定构成威胁。修复问题的惯性很大程度上是由于对memcached服务器造成的损害相对较小。虽然攻击有可能消耗开放服务器的带宽和计算资源,但这些负面影响远远小于接收端目标服务器上访问的负面影响。

进一步阅读野生DDOS使用新的方法来实现不可想象的规模仍然允许假冒数据包通过其网络的服务提供商在允许放大攻击方面也发挥了关键作用,但是这些提供商也没有受到太大的损害。如果没有强烈的改变动机,这些做法可能会持续数周或数月。