758.6G每秒：阿里雲成功防禦國內最大規模Memcached DDoS反射攻擊

03-07

摘要： 本周，阿里雲安全DDoS監控中心數據顯示，利用Memcached 進行DDoS攻擊的趨勢快速升溫。今天，阿里雲已經成功監控和防禦一起流量高達758.6Gbps的Memcached DDoS反射攻擊。

原文鏈接： http://click.aliyun.com/m/43007/

本周，阿里雲安全DDoS監控中心數據顯示，利用Memcached 進行DDoS攻擊的趨勢快速升溫。今天，阿里雲已經成功監控和防禦一起流量高達758.6Gbps的Memcached DDoS反射攻擊。

如下是Memcached型反射型DDoS攻擊的抓包樣本，從UDP協議+源埠11211的特徵，可以快速分辨這種攻擊類型。

這種攻擊，發起攻擊者偽造成受害者的IP對互聯網上可以被利用的Memcached的服務發起大量請求，Memcached對請求回應。大量的回應報文匯聚到被偽造的IP地址源（也就是受害者），形成反射型分散式拒絕服務攻擊。

令人擔憂的一點是，利用Memcached可以數萬倍的放大報文，即返回的報文大小是請求大小的數萬倍，攻擊者可以利用非常少的帶寬即可發起流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般只能放大數十倍到數百倍。Memcached放大反射DDoS攻擊因為其放大倍數能產生更大的破壞力。

攻擊態勢

隨著利用Memcached進行DDoS攻擊技術的公開，越來越多嘗試使用Memcached進行反射的DDoS發生，並且此類型DDoS攻擊正快速上升。

近期，黑客已經掃描並收集全球可以被利用的MemcachedIP，並出現大量試探性超大流量Memcached DDoS攻擊，下一步Memcached大流量DDoS攻擊將成熟化並大量出現，成為黑客新的利器。

當前互聯網上的反射點數量及危害

整個互聯網可以用於Memcached反射的IP達到數十萬，為攻擊者提供了海量的軍火庫。

隨著超大流量DDoS發起難度降低，IDC和雲服務商需要儲備更多的網路帶寬用於防禦，中小型IDC將很難應對這種超大規模DDoS攻擊，只有具備超大帶寬和運營商黑洞能力的雲服務商才能有力應對。

目前，阿里雲已提供Memcached安全配置建議，並在安騎士提供修復引導，幫助雲上用戶修復Memcached風險。高防IP中已提供UDP反射封禁服務。

—

（1）什麼是Memcached？

Memcached 是一個高性能的分散式內存對象緩存系統，用於動態Web應用以減輕資料庫負載。它通過在內存中緩存數據和對象來減少讀取資料庫的次數，從而提高動態、資料庫驅動網站的速度。

（2） Memcached業務場景？

如果網站包含了訪問量很大的動態網頁，那麼資料庫的負載將會很高。由於大部分資料庫請求都是讀操作，大部分讀較高的業務系統採用Memcached減少資料庫讀，實現緩存功能可以顯著地減小資料庫負載，提升網站性能。

（3）為什麼Memcached會被利用與反射放大DDoS攻擊？

針對如何防範Memcached，阿里雲安全專家有兩個方面的建議：

首先，如何避免被利用成為Memcached反射端：

建議對運行的Memccached服務進行安全檢查和加固，防止被黑客利用發起DDoS攻擊造成不必要的帶寬流量；

如果您的Memcached版本低於1.5.6，且不需要監聽UDP。您可以重新啟動Memcached 加入 -U 0啟動參數，例如：Memcached -U 0，禁止監聽在udp協議上

更多Memcached服務安全加固文檔：

https://help.aliyun.com/knowledge_detail/37553.html

如果您購買了阿里云云盾安騎士，您可以在安騎士控制台根據引導進行修復。

第二，如何防護Memcached DDoS反射攻擊

建議優化業務架構，將業務分散到多個IP上；

利用Memcached可以相對容易發起超大流量DDoS攻擊，防禦Memcached攻擊需要儲備足夠的帶寬。如果遇到大流量反射攻擊，可以採購雲清洗服務，並建議採用針對UDP反射進行過濾的雲清洗服務。阿里雲高防IP已推出UDP封堵服務。

參考鏈接：

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

更多技術乾貨敬請關注云棲社區知乎機構號：阿里云云棲社區 - 知乎