DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

香港ddos防御_cdn能防御ddos吗_限时优惠

09-17 DDOS防御

一、概述
基于Memcached服务的反射攻击,由于其 5万倍的反射比例,从一开始出现就成为DDoS攻击界的“新宠”。 2018年2月28日 , GitHub遭受了1.35T 的Memcached DRDoS攻击。目前基于安全专家以及相关机构的努力,可利用的反射源已经逐步减少。攻击者也逐步更新自己的攻击手段躲避审查,本文主要介绍基于Memcached的DDoS攻击趋势以及一些新的Memcached DRDoS的攻击手法。
二、攻击趋势
从2月25号开始,Memcached DRDoS攻击数量逐渐增多,3月初,Memcached DRDoS攻击只占总体攻击的5%,三月中旬以后,逐渐超过10%,现在稳定在10%-20%之间波动,最近一周增长到30%。

Memcached DRDoS攻击趋势分析


三、放大的魔力
5万倍
CF在2月份发布文章称,检测到发送15字节的包,收到750k字节的包。从而计算出反射倍数是51200倍。

Memcached DRDoS攻击趋势分析


CF提出的5万倍仅仅是按响应数据与请求数据的比例计算得到的,但DDoS攻击消耗的是网络带宽资源,所以真实的放大倍数必须考虑数据包的实际网络数据流长度。
在IEEE 802.3注1中,对以太网数据包有明确的规定:

Memcached DRDoS攻击趋势分析


根据802.3规范,一个数据包在网络上传播,占用的长度范围是84~1542。上述发送15字节,实际网络上数据包占有应为84字节,接收1400字节,实际网络上数据包占有应为1466字节。因为一个完整UDP的包,发送到网络中的报文实际长度会包含协议头,包括14(以太头)+20(IP头)+8(UDP头)+4(FCS)+ 20(帧间隙)= 66字节。
按照CF的检测到的数据重新计算 :
750字节产生的网络流量达到:750*1024/1400*1466 = 804205.7
实际反射倍数则是:804205/84 = 9573.9 倍。
可见计算方法不同,放大倍数差距如此之大,从原来的5万倍变为不到1万倍。但不管怎么样的差距,都不会影响Memcached反射攻击成为DRDoS的TOP 1。
当然事实上,即使如何严谨的计算放大倍数,此类攻击还是有进一步放大的案例。
增大反射倍数
Memcached 的value默认设置的最大长度是1Mbyte。单个get a请求后可实现的反射倍数达到: 1024*1024/1400*1466/84 = 13071.5倍。
虽然直接调大VALUE的值放大倍数还不足2万倍,但通过一些攻击技巧还是能实现反射倍数达到十几万倍。
我们最近捕获到的攻击,就使用了一种技巧实现了这样的放大效果。

Memcached DRDoS攻击趋势分析


上图所述的攻击者在一个请求中,使用了多次查询,通过在一个UDP包中执行多条get指令,Memcached服务器返回大量的多条数据包,由于UDP包本身的长度要占用66字节,通过这样的节省UDP包发送条数的手法,达到比之前单条发送要放大更多倍的效果。
上述攻击实例中,攻击者使用70个Memcached的GET指令拼装到一个UDP包中,发送包总长度844字节(Wireshark没有计算帧间隙和FCS,所以是820+24=844)。

Memcached DRDoS攻击趋势分析


该指令获取的VALUE值的长度达到304800:

Memcached DRDoS攻击趋势分析


实现反射倍数:304800*70/1400*1466/844= 26471.4倍。
理论上这不是最高的放大倍数。
当GET指令的个数增加时,反射比例还会增大,加上优化payload,最终能实现十几万倍的反射效果:
1)    将get VcoOw\r\n  替换为get a\r\n ,在一个UDP包中构造更多的请求指令,考虑MTU 1500,IP头20,UDP头8,Memcache协议头8,则指令个数可达:(1500-20-8-8)/7 = 209.14,安全计算取205个指令。
2)    发送包长: 66+8+7*205=1509字节,
3)    每个value值为1024*1024字节,
则总体反射倍数:1024*1024*205/1400*1466/1509= 149166.2倍!
实际的环境中,反射比例要小的多。一方面,是由于Memcached服务器的性能决定,另一方面UDP存在一定比例的丢包,甚至还有空响应的。
四、放大的意外
在对捕获的攻击数据分析中,有一定比例的返回包只有一个END数据,

Memcached DRDoS攻击趋势分析


这是由于GET 指令的KEY不存在。一个820字节的发送包能产生70个60字节UDP小包。
反射倍数:84*70/844 = 6.97倍。

Memcached DRDoS攻击趋势分析

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos1/9.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
 • 文章总数
 • 8554671访问次数
 • 建站天数

  DDOS防御

  ddos防御

  cc防护

  web安全

  高防服务器

  高防cdn


  QQ客服

  400-0797-119

  X