我们在之前的文章中已经提及,Memcache DRDoS 自从被360 0kee team首次公开批露以来,在过去的9个月中在网络上都不活跃。但是最近十天以来,Memcache DRDoS 在现网中的攻击越来越频繁,所制造的攻击流量也在不断刷新,当前最新的公开记录已经到了?1.7Tbps?。
关于这种攻击方式,目前还有很多问题等待回答。例如,到底已经有多少受害者、攻击中所使用的反射点到底有多少、实际发生的反射放大倍数是多少,等等。通过回答这些问题,我们可以充分描述当前总体态势,有助于安全社区理解这种新的DDoS攻击方式。
为此我们在 Memcache DRDoS 在 DDoSMon 上建立了一个?实时页面?,展示我们看到的相关DDoS攻击情况,供安全社区参考。
上面两图展示了每天中发生的攻击事件次数。可以看出,从2018-02-24开始,这种攻击在几天内快速发展。我们暂且将时间划分为下面这些阶段:
上图是每日活跃(即实际参与了攻击的)的反射点数量。从2018-02-24 快速增长以后,每日活跃的反射点数量一直稳定。
我们还挑选了 03-07 当天的15k个活跃反射点进行了实际测试。其中 15% 的反射点回应了我们用来探测的stats命令,确实拥有参与实际攻击的能力。15% 这个比例看起来比例较低,考虑到可能当前这些服务器的带宽已经接近耗尽或者接近ISP设定上限,也许需要多次测量来确认实际情况。
在过去这些天中,已经有一些主要的网站成为这种攻击方式的受害者。例如,github 在 2018-02-28 17:20 GMT附近,遭遇了一次DDoS攻击,其流量峰值达到 1.3Tbps,或者126.9mpps(百万包/秒)。?akamai?和?github?均发布了文档描述此事件。
在 DDoSMon 上,我们能看到 www.github.com 这个域名在2018-03-01 和 2018-03-02 遭受了两次攻击,前者就是上文提到的那次攻击:
我们为这种攻击方式搭建了服务蜜罐,并采集到了超过 37k 次攻击指令(请求包)。
如下表所示,99% 的攻击指令都是基于 memcache stats 指令。
我们在上一篇文章中提到,我们对实际环境中的实际放大倍数做了测试。在那个测试中,我们利用 stats 指令能获得的放大倍数在几十倍左右。
这7天中,我们的DDoSMon平台记录了:
为了使得结果更加可读,我们使用了PDNS 数据把受害者IP映射回他们的域名。这些IP中,有 981(13%) 个最近一周内有过域名解析,有1.5k(22%) 个历史上有过域名解析。
我们将这些有DNS域名解析的受害者,分别选择位于Alexa和float排名前1百万的,制作了两个列表。
下面是位于 Alexa 排名前1百万的受害者。需要指出我们只保留了SLD而非全部FQDN,所以表格中虽然列出了 a.com ,但实际上受攻击的可能是 xyz.a.com。
target_ip????rank????belongs?to?sld??
59.37.97.93????9???qq.com??
182.254.79.46????9???qq.com??
36.110.213.82????21??360.cn??
216.18.168.16????32??pornhub.com??
192.30.255.113????74??github.com??
192.30.253.125????74??github.com??
192.30.253.113????74??github.com??
192.30.253.112????74??github.com??
151.101.128.84????80??pinterest.com??
104.155.208.139????112?googleusercontent.com
下面是位于 float 排名前1百万的受害者。float 是我们内部的一个工具,主要使用中国大陆地区访问数据评估域名流行度。使用float排名时的一个好处是该排名基于FQDN,这样我们就不需要再次映射到 SLD,这样比较方便。
target_ip????rank????fqdn??
115.239.211.112????12??www.a.shifen.com??
182.254.79.46????21??mp.weixin.qq.com??
59.37.97.93????464?pingma.qq.com??
114.80.223.177????587?interface.hdslb.net??
47.91.19.168????587?interface.hdslb.net??
222.186.35.81????587?interface.hdslb.net??
114.80.223.172????587?interface.hdslb.net??
140.205.32.8????867?sh.wagbridge.aliyun.com.gds.alibabadns.com??
114.80.223.177????1052????bilibili.hdslb.net??
47.91.19.168????1052????bilibili.hdslb.net
观察这个列表可以看到一些有意思的受害者,例如:
下面是受害者的地理分布:
以及ASN 分布:
总体而言,当前的受害者主要集中在美国、中国(含中国香港)、韩国、巴西、法国、德国、英国、加拿大、荷兰。
在继续分析这些攻击事件中涉及的反射点之前,我们必须指出:
通过对所有反射点的分析,我们发现共有 62k 个反射点已经参与真实攻击事件。其中前20 的ASN 列表如下:
这些排名最靠前的20个ASN也仅能覆盖大约 53% 的活跃反射点,还有大约29k(47%)的反射点分布在其他 2.8k 个ASN中,如下表所示:
因此:
在文章的结尾,我们很高兴的注意到 memcached 的服务的开发者已经在 3月3日,提交?代码?缺省关闭了 memcache 的UDP监听端口。
原文:netlab
领取专属 10元无门槛券
私享最新 技术干货