「外敷內用」防禦Memcached DDoS

03-07

"核彈級"DDoS正在侵擾全球

美國網路服務提供商Cloudflare的技術人員於2月27日發布消息稱，惡意攻擊者正在濫用 Memcache 協議發起分散式拒絕服務（DDoS）放大攻擊，全球範圍內絕大多數相關伺服器受到影響。

早在2017年6月，已經有國內廠商發現了這種利用Memcache放大的攻擊技術，並在同年11月對安全社區做出了預警。據調查顯示，目前在外開放的Memcache存儲系統數量級在十萬左右，都可能會受到此類攻擊影響。

如下圖，從埠的開放主機信息上看，地區分布中美國佔據第一位，中國據次席。

而受影響的機器數量地理分布中，中國卻遠超於美國。

傳統的DDoS主要通過SYN/ACK Flood、TCP 全連接、刷 Script 腳本三種方式攻擊。上一次有公開報道的DDoS攻擊流量峰值大約在400G左右。目前已發布的消息中，GitHub遭遇了最嚴重的DDoS網路攻擊，峰值流量已經達到了1.35Tbps，創歷史新高。藉助CDN廠商的支持，GitHub已於攻擊發生後10分鐘內化解了危機，然而本次攻擊仍在進行中，不排除後續會出現更大攻擊峰值流量的可能。

先知攻

此次事件與以往攻擊源直接向受害者發送DDoS流量的攻擊方式不同，而是利用了間接的反射放大手段。熟悉《三體》的朋友一定還記得葉文潔在紅岸基地利用太陽放大地球信號發送給宇宙三體人的情節，本次攻擊就是利用了分布於全球的Memcached伺服器作為信號放大器，並偽造請求地址，將惡意流量放大上萬倍之後反射（Reflect）給受害者，這種攻擊方式被稱作DRDoS。

Memcached是業界主流的分散式緩存系統，為當前的主流網路服務提供數據緩存和加速服務。其實如果是以安全的方式部署的Memcached伺服器，是不會被拿來當槍使的，但實際情況是，網路中存在大量用默認的不安全方式部署的Memcached伺服器。當攻擊者向這些伺服器的默認Memecached服務埠——11211埠發送偽造了源地址的UDP請求時，Memcached就會響應原本十幾個位元組長度的請求包（一般為請求Memcached的全面狀態），並將十幾萬甚至上百萬位元組的響應結果發送給偽造的請求地址（受害者）。

與一般感染病毒的「肉雞」不同，運行Memcached的伺服器一般都位於各大IDC機房，具有強大的運算能力和充裕的網路帶寬，這也是本次DRDoS攻擊能夠造成如此大破壞的原因。

後知防

對於DDoS的防護業界是有共識的。業內知名網路安全專家曾提到，防護DDoS只能在電信運營商層面在攻擊源頭封攻擊IP的流量；如果運營商不封，攻擊流量就像洪水一樣湧向被攻擊的伺服器地址（即DDoS受害者），IDC及各路雲廠商是無法阻擋這些流量不湧向他們的。也就是說，攻擊流量肯定是要湧入IDC的大院子里，被攻擊的目標開始叫苦連天。

IDC和雲服務廠商要麼清洗攻擊流量、要麼黑洞被攻擊者。鑒於流量清洗的成本，國內IDC和雲服務廠商對受到大流量DDoS攻擊的客戶，一般會採取關小黑屋或者清退的處理方式。這種處理方法實為無奈之舉，會很大程度地破壞用戶體驗。

雙管齊下：攻擊預感知&策略性防禦

對於財大氣粗的服務商，兵來將擋水來土掩就是了。而其他服務商，我們建議採取「外使敷貼之餌，內用長托之劑」的策略，擴大縱深、雙管齊下防禦此類DDoS攻擊。對於已經上雲或者上SDN的用戶，一方面要防禦外部的DDoS，一方面要抑制自己租戶可能的對外攻擊。藉助雲杉網路 DeepFlow?，您可以通過如下場景及功能的結合，有效感知和防禦類似攻擊：

1. 在DeepFlow?報警管理頁面，根據環境中的資源類型，創建針對本次攻擊的報警策略。