华盟君机房被人攻击了掉线了!

今天早上来上班,77169.com 也打不开了,香港机房好几个机柜都掉线。怎么回事,谁要搞我?

先抓包分析了一下,

都在访问11211端口,udp流量都在这个上面。

查出ip,流量200M之上,所以掉线,掉包。

ipmi远程上主机看看,打开Du meter查看一下流量,好嘛,3G,实时流量。

这么回事,查查吧!

netstat -an | find "11211"

是否开放,

看了tcp,udp都开放着,

再查查11211是那个程序开放的端口

原来是,Memcached 开放的端口,

看了一下安装路径是WASAS,

WASAS websaber 自带的插件,给软件删除就好了,网上查了一下,现在黑客发现一个ddos攻击的新办法,只要开放udp 11211端口,就可以用来放大攻击。

网络犯罪分子已经找到了一种滥用广泛使用的Memcached服务器方法,以发起超过51,000次强大的DDoS攻击,而这些攻击的强度可能会导致主要网站和互联网基础设施的崩溃。

最近几天,Cloudflare,Arbor Networks和中国安全公司Qihoo 360的安全研究人员发现,黑客现在正在滥用“Memcached”,以前所未有的5.12万倍的速度放大DDoS攻击。

Memcached是一个流行的开源且易于部署的分布式缓存系统,它允许将对象存储在内存中,并且设计为可与大量开放式连接一起使用。Memcached服务器通过TCP或UDP端口11211运行。

Memcached应用程序旨在通过减少数据库上的压力来加速动态Web应用程序,这有助于管理员提高性能并扩展Web应用程序。它被成千上万的网站广泛使用,包括Facebook,Flickr,Twitter,Reddit,YouTube和Github。

被Cloudflare 称为Memcrashed,该攻击明显滥用未启用UDP的未受保护的Memcached服务器,以便以原先的强度提供51,200倍的DDoS攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcached应用程序旨在通过减少数据库上的压力来加速动态Web应用程序,这有助于管理员提高性能并扩展Web应用程序。它被成千上万的网站广泛使用,包括Facebook,Flickr,Twitter,Reddit,YouTube和Github。

被Cloudflare 称为Memcrashed,该攻击明显滥用未启用UDP的未受保护的Memcached服务器,以便以原先的强度提供51,200倍的DDoS攻击,使其成为迄今为止在野外使用的最突出的扩增方法。

Memcrashed DDoS放大攻击如何工作?

像其他放大方法一样,黑客通过伪造的IP地址发送小的请求以获得更大的响应作为回报,Memcrashed放大攻击也可以通过伪造的请求向端口11211上的目标服务器(易受攻击的UDP服务器)发送欺骗性IP地址匹配受害者的IP。

据研究人员称,发送给易受攻击服务器的请求只需要几个字节即可触发数万倍的响应。

“15个字节的请求触发了134KB的响应,这是10,000倍的放大因子!实际上,我们看到一个响应750kB的15字节请求结果(这是一个51,200倍放大),”Cloudflare说。

据研究人员称,大多数Memcached服务器被滥用于放大DDoS攻击,都在OVH,Digital Ocean,Sakura和其他小型托管服务提供商处进行。

有人问,华盟君,你不找找谁干的吗?

查了的,都是一些机器出过来反射放大udp,一会我攻击回去,这口气不能忍。

现在我们国内几个机房还有问题呢,我先去解决一下。

总结,这个问题如何发现,如何解决。

1,如何发现?

用扫描软件自查一下,自己机器有没有开放udp,tcp 11211端口的,如果有说出明风险比较大,

2,如何解决,

防火墙上屏蔽udp 11211端口访问,

最终解决办法还是打补丁,或者是删除不用的应用。

其实前几天我就看到了这个新闻,总认为跟自己没关系,机房掉线才想起来。搞安全有时还是不能克服一个“懒”字,早看到,早自查不就没事了。

安全无小事,不要等出事,再谈安全。共勉吧!

本文由 华盟网 作者:hulei 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

1

相关文章

发表评论

电子邮件地址不会被公开。