DDoS反射放大攻击全球探测分析（下）

传送门——《DDoS反射放大攻击全球探测分析（中）》

3.7.Memcached

Memcached是一个自由开源的，高性能，分布式内存对象缓存系统。Memcached是以LiveJournal旗下Danga Interactive公司的Brad Fitzpatric为首开发的一款软件。现在已成为mixi、hatena、Facebook、Vox、LiveJournal等众多服务中提高Web应用扩展性的重要因素。Memcached是一种基于内存的key-value存储，用来存储小块的任意数据（字符串、对象）。这些数据可以是数据库调用、API调用或者是页面渲染的结果。Memcached简洁而强大。它的简洁设计便于快速开发，减轻开发难度，解决了大数据量缓存的很多问题。它的API兼容大部分流行的开发语言。本质上，它是一个简洁的key-value存储系统。一般的使用目的是，通过缓存数据库查询结果，减少数据库访问次数，以提高动态Web应用的速度、提高可扩展性。

Memcached Server在默认情况下同时开启了TCP/UDP 11211端口，并且无需认证既可使用Memcached的储存服务。2018年3月2日，ZoomEye对全网开启了UDP 11211端口，并且无需认证的Memcached进行探测，共得到14142个目标，并对这些目标进行全球分布统计，如图3.7-1所示：

3.7-1 Memcached可被利用主机全球分布图

从上图中可以明显的看出我国对安全问题的重视程度和国外仍然有较大的差距。在14142个有效目标中，有11368个目标的IP地址位于我国。下面再对我国的目标进行全国分布统计，如图3.7-2所示：

3.7-2 Memcached可被利用主机全国分布图

Memcached未开启认证的情况下，任何人都可以访问Memcached服务器，储存键值对，然后可以通过key来获取value。所以，为了摸清出全球Memcache可利用的情况，我们在Memcached储存一个key为1byte的，value为1kb的数据，然后我们再通过该key获取到value，这样就产生了将近1000倍的放大效果。Memcached在默认情况下还会开启UDP端口，所以这就导致了Memcached可以被利用来进行DDoS放射放大攻击。而Memcached能放大多少倍取决于：

Memcached服务器带宽

Memcached能储存的值的最大长度

利用自己的服务器进行一个测试，首先让能利用的Memcached储存一个1kb长度的值，然后同时向所有目标获取值，能收到886Mbit/s的流量，如图3.7-3所示：

3.7-3 流量统计图

3.8.CoAP

CoAP（Constrained ApplicationProtocol）是一种应用在物联网网络的应用层协议，它的详细规范定义在RFC 7252。由于物联网设备大多都是资源限制型设备，例如有限的CPU、RAM、带宽等。对于这类设备来说想要直接使用现有网络的TCP和HTTP来实现设备间的通信显得很奢侈。为了让这部分资源受限的设备也能够顺利的接入网络，CoAP协议应运而生。CoAP指受限制的应用协议，是基于UDP实现的类HTTP协议。相比于HTTP协议，CoAP继承了HTTP协议的可靠传输，数据重传，块重传，IP多播等特点。并且CoAP利用二进制格式传递数据，这样使得CoAP请求更加的轻量化，并且占用的带宽更小。

CoAP协议规定提供服务的设备，必须提供./well-known/core的Uri-path并且默认绑定在5683端口上。2019年5月6日，通过Zoomeye网络空间探测引擎获取到857,031台UDP 5683端口相关的主机，对这些主机进行放大倍率探测，实际上有344,462台主机开启了5683端口，占了扫描总数的40.19%。在开启了5683端口的主机中，有137,207台主机放大倍数在10倍以上，占了总数的39.83%，具体数据见图3.8-1：

对响应主机全球分布情况分析如图3.8-2，可以看到主要分布在俄罗斯与中国：

3.8-2 CoAP可被利用主机全球分布图

对响应主机国内分布情况分析如图3.8-3，主要分布在江西、四川、新疆

3.8-3 CoAP可被利用主机全国分布图

另外，我们对国内设备的响应报文进行了简单分析，发现有大量设备的响应数据中都包含有Qlink关键字。

4.总结

和前面三轮探测的数据相比，在第四轮的探测中，变化最大的是NTP服务，当前互联网的NTP服务器已经没办法造成大流量的DDoS反射放大攻击了。与之相比，其他协议也或多或少的降低了可被利用的主机数量 。DDoS反射放大攻击仍然危害巨大，DDoS防御仍然刻不容缓。

在ZoomEye的数据库中，开启11211端口的目标有54万，其中美国有23万，中国有13万的目标，但是开启了UDP 11211端口的数据中，总量只有14142，其中美国有1070的目标，中国有11368个目标主机。

从这些数据对比中，可以看出美国对此类的安全事件有非常快的响应速度，中国和美国的差距还很大。

从放大效果来看，虽然可利用的目标已经缩减到1万的量级，但是仍然能造成大流量的DDos攻击。

对于Memcached的用户，我们建议关闭其UDP端口，并且启用SASL 认证，对于运营商，建议在路由器上增加的uRPF(Unicast Reverse Path Forwarding)机制，该机制是一种单播反向路由查找技术，用于防止基于源地址欺骗的网络攻击行为，利用该机制能使得UDP反射攻击失效。

第五版中，增加了对于CoAP的探测，从上面统计与分析的数据中可以看到，能被利用进行DDoS反射放大的主机主要分布在俄罗斯与中国，并且放大效果在10倍以上的主机也不少。对于使用CoAP的互联网服务，可以禁用UDP，不能禁用时确保请求与响应不要有倍数关系，也可以启用授权认证；对于企业用户，没有UDP相关业务，可以再上层或者本机防火墙过滤掉UDP包，可以寻求运营商提供UDP黑洞的IP网段做对外网站服务，也可以选择接入DDoS云防安全服务或删除协议默认路径; 对物联网用户，如果没有公网访问需求，物联网设备不启用公网IP，如果有公网访问需求，应添加防火墙规则，限制访问IP，减少互联网暴露面。