Cloudflare：什么是內(nèi)存緩存 DDoS 攻擊？

什么是內(nèi)存緩存 DDoS 攻擊？

內(nèi)存緩存分布式拒絕服務(wù) (DDoS) 攻擊是一種網(wǎng)絡(luò)攻擊，攻擊者試圖使目標(biāo)受害者的網(wǎng)絡(luò)流量超載。攻擊者將欺騙性的請(qǐng)求發(fā)送到易受攻擊的 UDP 內(nèi)存緩存*服務(wù)器，該服務(wù)器隨后向目標(biāo)受害者發(fā)送 Internet 流量，從而可能使受害者的資源不堪重負(fù)。當(dāng)目標(biāo)的 Internet 基礎(chǔ)設(shè)施過載時(shí)，就無法處理新請(qǐng)求，而常規(guī)流量也無法訪問Internet 資源，從而導(dǎo)致拒絕服務(wù)。

*內(nèi)存緩存是用于加速網(wǎng)站和網(wǎng)絡(luò)的數(shù)據(jù)庫緩存系統(tǒng)。

以下是 Cloudflare 全球網(wǎng)絡(luò)中的數(shù)據(jù)中心，以及它們?cè)诮谝淮喂糁惺盏降膬?nèi)存緩存攻擊流量的相對(duì)數(shù)量。

內(nèi)存緩存攻擊的工作原理

內(nèi)存緩存攻擊的工作方式類似于所有 DDoS 放大攻擊，例如 NTP 放大和 DNS 放大。這種攻擊欺騙性請(qǐng)求發(fā)送到易受攻擊的服務(wù)器，該服務(wù)器隨后會(huì)發(fā)出比初始請(qǐng)求大的數(shù)據(jù)量作為響應(yīng)，因此放大了流量。

內(nèi)存緩存放大攻擊就好比是一個(gè)心懷惡意的青少年打電話給一家餐廳說“我要菜單上的東西每樣來一份，請(qǐng)給我回電話并告訴我整個(gè)訂單的信息”。當(dāng)餐廳詢問回叫號(hào)碼時(shí)，他卻給出目標(biāo)受害者的電話號(hào)碼。然后，目標(biāo)會(huì)收到來自餐廳的呼叫，接到他們未請(qǐng)求的大量信息。

這種放大攻擊的方法之所以成為可能，因?yàn)閮?nèi)存緩存服務(wù)器可以選擇使用 UDP 協(xié)議進(jìn)行操作。UDP 是一種網(wǎng)絡(luò)協(xié)議，允許在不首先獲得所謂握手的情況下發(fā)送數(shù)據(jù) - 握手是指雙方都同意通信的網(wǎng)絡(luò)過程。之所以使用 UDP，是因?yàn)椴挥米稍兡繕?biāo)主機(jī)是否愿意接收數(shù)據(jù)，無需事先征得它們的同意，就可以將大量數(shù)據(jù)發(fā)送給目標(biāo)主機(jī)。

內(nèi)存緩存攻擊分為 4 個(gè)步驟：

攻擊者將大量數(shù)據(jù)有效載荷*植入暴露的內(nèi)存緩存服務(wù)器上。

接下來，攻擊者使用目標(biāo)受害者的 IP 地址偽造 HTTP GET 請(qǐng)求。

帶有漏洞的內(nèi)存緩存服務(wù)器接收到請(qǐng)求，試圖通過響應(yīng)來提供幫助，因此將大量響應(yīng)發(fā)送到目標(biāo)。

目標(biāo)服務(wù)器或其周圍的基礎(chǔ)設(shè)施無法處理從內(nèi)存緩存服務(wù)器發(fā)送的大量數(shù)據(jù)，因此導(dǎo)致過載和對(duì)正常請(qǐng)求拒絕服務(wù)。

這是針對(duì) Cloudflare 網(wǎng)絡(luò)的每秒 260 GB 的內(nèi)存緩存攻擊被防護(hù)的情況

內(nèi)存緩存放大攻擊的規(guī)?？梢赃_(dá)到多大？

這種攻擊的放大倍數(shù)十分驚人；在實(shí)踐中，我們見過高達(dá) 51,200 倍的放大倍數(shù)！這意味著對(duì)于 15 字節(jié)的請(qǐng)求，可以發(fā)送 750 kB 的響應(yīng)。這是一個(gè)巨大的放大倍數(shù)，無法承受如此大量攻擊流量的 Web 資產(chǎn)則面臨巨大的安全風(fēng)險(xiǎn)。巨大的放大倍數(shù)加上帶有漏洞的服務(wù)器使內(nèi)存緩存放大攻擊成為攻擊者針對(duì)各種目標(biāo)發(fā)起 DDoS 攻擊的主要用例。

如何防護(hù)內(nèi)存緩存攻擊？

禁用 UDP - 對(duì)于內(nèi)存緩存服務(wù)器，請(qǐng)確保在不需要時(shí)禁用 UDP 支持。默認(rèn)情況下，內(nèi)存緩存啟用了 UDP 支持，這可能會(huì)使服務(wù)器容易受到攻擊。

對(duì)內(nèi)存緩存服務(wù)器進(jìn)行防火墻保護(hù) - 通過在內(nèi)存緩存服務(wù)器和 Internet 之間添加防火墻保護(hù)，系統(tǒng)管理員可以根據(jù)需要使用 UDP，而不必暴露于風(fēng)險(xiǎn)中。

防止 IP 欺騙 - 只要可以偽造 IP 地址，DDoS 攻擊就可以利用此漏洞將流量定向到受害者的網(wǎng)絡(luò)。防止 IP 欺騙是一個(gè)規(guī)模較大的解決方案，無法由特定的系統(tǒng)管理員實(shí)施，它要求傳輸提供商禁止源 IP 地址源自網(wǎng)絡(luò)外部的任何數(shù)據(jù)包離開其網(wǎng)絡(luò)。換句話說，Internet 服務(wù)提供商 (ISP) 之類的公司必須篩選流量，以使離開其網(wǎng)絡(luò)的數(shù)據(jù)包不得假裝成來自其他地方的其他網(wǎng)絡(luò)。如果所有主要的傳輸提供商都實(shí)施了這種篩選，基于欺騙的攻擊將在一夜之間消失。

開發(fā)具有減少 UDP 響應(yīng)的軟件 - 消除放大攻擊的另一種方法是去除任何傳入請(qǐng)求的放大因素；如果由于 UDP 請(qǐng)求而發(fā)送的響應(yīng)數(shù)據(jù)小于或等于初始請(qǐng)求，則放大就不復(fù)可能。