DDoS界的核武器來襲！網宿網盾發布Memcached攻擊安全預警

昨日，網宿網盾DDoS防護平台成功防禦一起流量高達613Gbps的DDoS攻擊。此次攻擊是2018年開年以來網宿網盾遭遇的最大攻擊。

攻擊流量峰值圖

根據網盾態勢感知平台的監測，此次攻擊為混合攻擊，以SYN Flood和UDP Flood為主要攻擊類型。進一步抓包分析UDP Flood，發現此次UDP Flood攻擊的源埠相對固定，埠號為11211，特徵明顯，判斷為近期頻發的Memcached攻擊。

抓包數據

網宿網盾第一時間下發了全平台緊急預警策略。結合近期業內多家安全廠商公開報道遭受Memcached攻擊的現象，網盾專家認為：以Memcached攻擊為代表的反射放大型攻擊的出現，預示著未來大規模（Tbps級）的DDoS攻擊在今後可能會頻繁的出現，DDoS攻擊開始從 G 時代進入 T 時代。

DDoS攻擊核武器是如何煉成的？

反射放大型攻擊本質上是利用如UDP、IMCP等協議沒有IP認證機制的特點進行IP欺騙，攻擊者偽裝成受害者IP向公網上基於此類協議服務的設備發起請求，最終使得公網大量設備的大量回復報文發往受害者IP而造成拒絕服務，而且設備回復的次數和報文大小往往是請求報文的數倍甚至數萬倍。因此便形成了反射和放大，以極少的攻擊資源通過反射和放大就能帶來巨大的DDoS攻擊效果。

反射放大流程

Memcached為何會成為攻擊者的「幫凶」？

Memcached是一個開源免費的分散式內存緩存系統，適用於需要維護大量開放連接的應用系統。它通過在內存中緩存數據和對象來減少讀取資料庫的次數，從而提高了網站訪問的速度。

較低版本Memcached默認開啟UDP協議，進而攻擊者可以利用其發起放大攻擊。

Memcached應用廣泛

DDoS攻擊量級進入T時代

Memcache是目前國際流行的網頁緩存系統，用戶發起很小請求，服務端會響應很大的報文。

根據攻擊者構造惡意請求的能力不同，響應報文的放大係數也不盡相同，目前業內已知的放大係數可高達5萬倍。

放大係數如此巨大已經令人膽寒，而就公開數據可知目前活躍在互聯網上對外開放的Memcache伺服器數量超過9.3萬，其中中國境內有超過2萬。當前這種攻擊方式還處在被黑客利用的初期階段，攻擊量級已可輕鬆達到數百G，若其發展為武器化並結合現有殭屍網路進一步放大攻擊流量，形成超過T級的超大規模DDoS攻擊也不費吹灰之力。

新型攻擊對雲廠商的清洗能力提出更高要求

網宿網盾DDoS防護平台具備對大型反射放大DDoS攻擊進行防禦清洗的超強能力，2017年成功抵禦大型DDoS攻擊峰值流量為774Gbps。技術層面，當平台監測中心檢測到大規模反射放大型攻擊時可自動封禁UDP報文或識別並攔截惡意報文。

另一方面，網宿網盾全平台在國內可靈活調用的帶寬儲備量可達10Tbps，即使面對T級超大規模DDoS攻擊仍可遊刃有餘的從容應對。2018年上線的網盾海外三大清洗中心也可幫助海外客戶在危機四伏的互聯網環境下險中求勝，無懼任何網路攻擊威脅。

來自網宿網盾的應對建議

對於Memcached使用者：

1.目前Memcached官方已經發布補丁,使用者可以儘快更新到最新版本，避免自己的Memcached服務被黑客利用作為攻擊反射工具。

2.在不需要監聽UDP的情況下關閉Memcached的UDP服務。

對於網路層防禦：

反射放大型DDoS攻擊最簡單防護方式是封禁UDP協議以及相關埠，針對超大大規模的DDoS攻擊可以採用雲廠商的流量清洗方案。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！