親歷歷史！史上首個核彈級DDoS攻擊正在荼毒全球

今天，360網路安全響應中心（360 Cert）發出預警，稱監測到一種利用Memcache作為DRDoS放大器進行放大的超大規模DDoS攻擊，這種反射型DDoS攻擊能夠達到5萬倍的放大係數，犯罪分子可利用Memcache伺服器通過非常少的計算資源發動超大規模的DDoS攻擊。

360 Cert表示目前全球多個雲伺服器均遭到攻擊，未來可能有更多利用Memcached進行DRDoS的事件發生。

實際上，早在2017年6月，360信息安全部0kee Team就發現了這種利用Memcache放大的攻擊技術，並在2017年11月通過PoC 2017安全會議對安全社區做出了預警。360 CERT QUAKE全網測繪顯示，目前在外開放的Memcache存儲系統數量級在十萬左右，都可能會受到此類攻擊影響。從國家分布上來看，開放主機數量上，美國第一，中國第二，但受影響的數量卻相反。

DDoS攻擊是通過大量合法的請求佔用大量網路資源，以達到癱瘓網路的目的。舉例來說，就是一個正常營業的商鋪，被大量假冒的顧客佔滿了，沒有辦法為真正的顧客提供服務，這個商鋪就是DDoS攻擊的受害者。

360 CERT團隊介紹，這種利用Memcache作為DRDoS放大器進行放大的DDoS攻擊，利用Memcached協議，發送大量帶有被害者IP地址的UDP數據包給放大?主機，然後放大?主機對偽造的IP地址源做出大量回應，形成分散式拒絕服務攻擊，從而形成DRDoS反射。

據了解，在近幾日發現的利用Memcache放大的攻擊事件中，攻擊者向埠11211上的 Memcache伺服器發送小位元組請求。由於 UDP協議並未正確執行，因此 Memcache伺服器並未以類似或更小的包予以響應，而是以有時候比原始請求大數千倍的包予以響應。也就是說攻擊者能誘騙 Memcache伺服器將過大規模的響應包發送給受害者。

Memcache攻擊放大係數可高達5萬倍

這種類型的 DDoS攻擊被稱為「反射型 DDoS」或「反射 DDoS」。響應數據包被放大的倍數被稱為 DDoS攻擊的「放大係數」。目前常見反射類DDoS攻擊的放大係數，一般是20到100之間。放大係數超過1000的反射型 DDoS攻擊本身就非常罕見，而本次高達5萬倍放大係數被實際應用在DDoS攻擊戰場上，是DDoS歷史上首次出現的超高倍數DDOS攻擊事件，可以說是核彈級的攻擊手法。

這也是本次Memcrashed技術特點之一——反射倍數較大，已經確認可以穩定的達到5萬倍，此外，本次攻擊事件的反射點帶寬充裕，且主要來自IDC機房伺服器。

最近一周，利用Memcache放大的攻擊事件迅速上升，攻擊頻率從每天不足50件爆髮式上升到每天300~400件，而實際現網中，已經出現了 0.5Tbps 的攻擊。360Cert表示，可能有更大的攻擊案例並未被公開報道。

在接下來的一段時間內，360安全團隊預計會出現更多利用Memcached進行DRDoS的事件，如果本次攻擊效果被其他DDoS團隊所效仿，將會帶來後果更嚴重的攻擊。因此，360安全專家對於Memcache使用者給出幾條建議：

1.Memcache的用戶建議將服務放置於可信域內，有外網時不要監聽 0.0.0.0，有特殊需求可以設置acl或者添加安全組。

2.為預防機器?掃描和ssrf等攻擊，修改memcache默認監聽埠。

3.升級到最新版本的memcache，並且使用SASL設置密碼來進行許可權控制。

對於網路層防禦，360安全專家表示目前已有包括NTT在內的多個國外ISP已經對UDP11211進行限速。同時，安全專家表示，互聯網服務提供商應當禁止在網路上執行IP欺騙。IP欺騙DRDoS的根本原因。具體措施可以參考BCP38。

此外，安全專家也建議ISP應允許用戶使用 BGP flowspec 限制入站UDP11211的流量，以減輕大型DRDoS攻擊時的擁堵。

詳細報告地址：[預警]利用 Memcache 作為 DRDoS 反射放大器進行 DDoS 攻擊 - 360CERT

（請戳鏈接）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！