Memcache UDP反射放大攻擊技術分析

本篇技術blog，由360信息安全部0kee Team、360網路安全研究院、360-CERT共同發布。

Memcache UDP 反射放大攻擊（以下簡稱 Memcache DRDoS）在最近的一周里吸引了安全社區的較多注意。以下介紹我們對該類型攻擊觀察到的情況。

在PoC 2017 會議上的原始報告

Memcache DRDoS，由360信息安全部0kee Team在2017-06 附近首先發現，並於 2017-11 在 PoC 2017 會議上做了公開報告。會議報告鏈接：http://powerofcommunity.net/poc2017/shengbao.pdf其中詳細介紹了攻擊的原理和潛在危害。

在這份文檔中，作者指出這種攻擊的特點：

memcache 放大倍數超高，至少可以超過50k；

memcache 伺服器（案例中的反射點）數量較多，2017-11時估算全球約有 60k 伺服器可以被利用，並且這些伺服器往往擁有較高的帶寬資源。

基於以上特點，作者認為該攻擊方式可以被利用來發起大規模的DDoS攻擊，某些小型攻擊團隊也可能因此獲得原先沒有的大流量攻擊能力。

在 DDoSMon 上觀察到的現網趨勢

自批露以來，我們就一直利用 DDoSMon 的統計頁面 持續監控Memcache DRDoS在實際現網中的情況。在過去的幾個月中，這種類型攻擊的頻率和單次破壞性都不大，但是自2018-02-24開始，這種情況發生了較大變化。

近期，Memcache DRDoS 的攻擊頻率上升到了平時的10+倍，從每天小於50件，上升到每天300~400件，如下圖所示。

需要指出，當前 Memcache DRDoS 仍然還不是DDoS的主流。即使在反射類DDoS中，也只佔 1% 以下（按攻擊事件計），排在 DNS、CLDAP、NTP、SSDP、CharGen、L2TP、BitTorrent、Portmap、SNMP的後面。

我們在現網中對 Memcache DRDoS 攻擊方式的測試結果

我們對現網實際環境做了測試，結合分析我們捕獲的實際攻擊載荷，有以下內容值得關註：

這種反射攻擊的放大比率，在理想的測試環境中，可以穩定的測得 1k~60k之間的放大倍數；

在現網實際環境中， 60k 的放大倍數，也是可以穩定的測得的；

上述實測結果，與最初報告者0kee team的估計、US-CERT安全通告中的提法，基本是一致的；

此外我們分析了現網實際發生的攻擊負載。到目前為止，部分負載的構造是有問題，可能會導致memcache服務崩潰，並不能穩定的打出最大放大倍數。但是這裡涉及的技術改進並不困難，攻擊者容易做出響應調整。

另外，我們對將放大倍數調整到 60k 以上做了一些初步分析。我們懷疑這個比例是可以繼續顯著提高的，但具體技術細節不會在這裡討論。

當前已知 Memcache DRDoS 攻擊的案例

2月27日，Qrator Labs 在 medium.com 上 批露 了一次DDoS攻擊。按照文章的說法，這次攻擊確信就是 UDP 11211 埠上的 memcache DRDoS，攻擊流量峰值達到 480Gbps。

除了這個案例以外，我們確認有更大的攻擊已經實際發生，但並未被公開報道。

當前已知各國運營商、安全社區的應對措施

目前已經有多個相關安全通告，部分列出如下：

通告類：多個主要設備廠商、安全廠商、CERT已經發布通告，例如 CloudFlare、Qrator Labs、Arbor Networks、US-CERT，等等

預防和防禦類：包括 NTT 在內的多個ISP 已經對 UDP 11211 採取限速措施。

應對建議方面，ISP、網路管理員、企業用戶可以從很多渠道獲得應對建議，例如 這裡。我們建議：

各運營商 ISP、雲服務廠商，考慮在自己的網路內對UDP 11211 採取限速措施

各開發者和 memcache 管理者，考慮自查 memcache 設定ACL

總體而言，一方面，我們開始擔憂1Tbps以上的DDoS攻擊案例今後會比較頻繁的出現，DDoS攻擊開始從 G 時代進入 T 時代（Gbps vs Tbps）；另一方面，我們必須指出至少在當前 Memcache DRDoS 還不是DDoS 攻擊的主流，比例還在 1% 以下（按次數統計）。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！