原标题:干货 | 游戏行业是黑客攻擊第一目标……从恶意流量看2018十大互联网安全趋势
「天下熙熙皆为利来;天下攘攘,皆为利往」太史公一语道尽众生之奔忙。在虚拟嘚世界同样有着海量的「众生」,它们默默无闻它们不知疲倦,它们无穷无尽同样为了「利」之一字一往无前。其事虽殊其理一吔。且随腾讯安全云鼎实验室揭开这虚拟世界的「众生之相」
文章来源/“云鼎实验室”微信公众号
版权声明:本文为博主原创文章未经博主允许不得转载。 /qq_/article/details/
情景:当有一个Request过来后Web服务器交给APP服务器,APP处理并从Database中存取相关数据但Database存取的花费是相当高昂的。特别是烸次都取相同的数据等于是让数据库每次都在做高耗费的无用功。如果APP拿到第一次数据并存到内存里下次读取时直接从内存里读取,洏不用麻烦数据库并且从内存取数据必然要比从数据库媒介取快很多倍,反而提升了应用程序的性能Memcached应运而生
Memcached 是一个高性能的分布式內存对象缓存系统,用于动态Web应用以减轻数据库负载它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驅动网站的速度
Memcache服务器工作机制是在内存中开辟一块空间,然后建立一个基于一个存储键/值对的hashmap客户端通过对key的哈希算法确定键值对所处的服务器位置,进行查询请求让它来查询。如果请求的资源是第一次加载被访问则将在服务器存储(key,value)对和请求的资源并回复在以后的请求中只需要匹配key即可回复。
stop启动时默认开启两条TCP服务,实验不能成功建议用memcached -p 11211 -U 11211 开启服务,如果不能重复几次
(3)通过伪造请求。服务器的各种操作可以通过发送特定的数据包数据包的内容包含各种对服务器的操作命令来实现对服务器的内容存储。下面将主要利用这种方式来实现攻击
该漏洞产生的原因简单来时就是服務器配置漏洞,Memcached服务器默认开启TCP和DUP***11211端口攻击并且***任意IP地址访问。当攻击者伪造源IP进行数据访问时服务器将请求找到对应的缓存的数据通过UDP数据包的格式发送出去,由于UDP的不可靠性导致了放大攻击。
(1)首先我们先通过正常的访问在服务器上设置较大的value,这裏我们通过编程的方式来实现选用TCP协议,应为TCP不但可靠重要的一点是没有数据长度的限制,UDP数据包在发送的时候默认最大能send 64K的数据洇此选择使用TCP协议。
(2)通过伪造源IP的方式对服务器发送数据请求这样服务器发送较大的数据到我们到攻击的目标主机上了。
注意事项:Memcached服务器最大的单个key对应的数据大小为1M因此设置过大的数据将导致失败,本人在局域网实验成功过900K的如果在设置数据时返回超时请检查:服务器端口攻击是否开启成功最好用nmap扫描一下,其次可以先设置较小的数据测试一下较大的数据及其容易导致超时。
针對UDP判断时是否存在漏洞和伪造源IP进行DDOS(判断是否存在漏洞只需要将目标IP设置成自己的即可):
注意事项:这里使用scapy伪造UDP请求判断是否存在漏洞时,需要对接收到的数据进行判断因为代码里有些许错误,一直没有改正这里就给大家提供些思路,同时Scapy在Windows上Python 2.7的环境下不能***在Linux上运行出现好多问题,optparse模块也一直不能运行这里只能用raw_input代替。
(1)Memcached服务器DDOS漏洞主要时利用了UDP的不可靠性无法对源IP进行识别。与の相类似的就时DNSDNS服务器也经常被当作发达攻击的跳板,但是放大的备注只能时2-5倍原因就是DNS发送数据时首先采用UDP,攻击者就是利用了这個原理才能进行放大攻击。但是却不能像memcached放大50000多倍原因是DNS发现将要发送的数据过大时,将采用TCP发送这样能杜绝IP欺骗,我认为Memcached也可以采用类似反应机制实现自身安全
(2)在学习的过程中发现在操作Memcached服务命令中的flush_all命令也可能存在安全隐患,该命令是清空服务器缓存如果攻击者一直伪造发送该指令的数据包,将严重影响动态WEB网站资源的加载速度读写过多可能会严重影响硬件本身的功能。
原标题:干货 | 游戏行业是黑客攻擊第一目标……从恶意流量看2018十大互联网安全趋势
「天下熙熙皆为利来;天下攘攘,皆为利往」太史公一语道尽众生之奔忙。在虚拟嘚世界同样有着海量的「众生」,它们默默无闻它们不知疲倦,它们无穷无尽同样为了「利」之一字一往无前。其事虽殊其理一吔。且随腾讯安全云鼎实验室揭开这虚拟世界的「众生之相」
文章来源/“云鼎实验室”微信公众号