四兩撥千斤式的攻擊！如何應對Memcache伺服器漏洞所帶來的DDoS攻擊？

近日，媒體曝光Memcache伺服器一個漏洞，犯罪分子可利用Memcache伺服器通過非常少的計算資源發動超大規模的DDoS攻擊。該漏洞是Memcache開發人員對UDP協議支持的方式不安全導致的，黑客能通過它實現「反射型DDoS攻擊」。

什麼是反射型DDoS攻擊，犯罪分子是如何利用UDP協議進行攻擊的？我們應該採取什麼方式去減少它所帶來的危害？網易雲首席安全架構師沈明星對此進行了解讀。

「四兩撥千斤」的攻擊方式

沈明星稱，反射型DDoS攻擊是一種新的變種。攻擊者並不直接攻擊目標服務IP，而是利用互聯網的某些特殊服務開放的伺服器，通過偽造被攻擊者的IP地址、向有開放服務的伺服器發送構造的請求報文，該伺服器會將數倍於請求報文的回複數據發送到被攻擊IP，從而對後者間接形成DDOS攻擊。

圖解：攻擊者（Attacker，實際情況中更多的會利用傀儡機進行攻擊）不直接把攻擊包發給受害者，而是冒充受害者給放大器（Amplifiers）發包，然後通過放大器再反射給受害者

回到Memcache伺服器上則是，犯罪分子會向埠11211上的Memcache伺服器發送小位元組請求。由於UDP協議並未正確執行，因此Memcache伺服器並未以類似或更小的包予以響應，而是以有時候比原始請求大數千倍的包予以響應。由於UDP協議即包的原始IP地址能輕易遭欺騙，也就是說攻擊者能誘騙Memcache伺服器將過大規模的響應包發送給另外一個IP地址，即DDoS攻擊的受害者的IP地址。

那為什麼攻擊者能利用了網路協議的缺陷或者漏洞進行IP欺騙？沈明星稱，這主要是因為很多協議（例如ICMP、UDP等）對源IP不進行認證。

為了達到更好的攻擊效果，黑客還會選擇具有放大效果的協議服務進行攻擊，「攻擊非常容易就能達到四兩撥千斤的效果。」沈明星擔憂地說。

我們任何一個對外開放的業務都可能是潛在的受害者 建議停止使用Memcache的UDP埠

根據監測數據顯示，利用Memcache這個漏洞進行DDoS攻擊的事件明顯增多，存在較大的風險。沈明星說：「我們任何一個對外開放的業務都可能是潛在的受害者。」

那應該採取什麼方式去減少Memcache漏洞所帶來的危害？這位攻防經驗十分豐富的首席安全架構師表示，對於Memcache的用戶，為了避免成為攻擊者的幫凶，可以使用「--listen 127.0.0.1」只在本地偵聽UDP埠，或者索性使用「 -U 0 」關閉UDP埠。除此之外，也可以使用防火牆關閉對11211埠的訪問。

對於開發而言，建議停止使用Memcache的UDP埠。

對於易受攻擊的用戶，建議對自己的業務進行加固。另外，由於UDP反射使用大帶寬進行堵塞的這一特徵，需要用戶採購超大的帶寬才能進行防禦。一般用戶如果無力採購超大帶寬，建議購買DDoS高防服務的方式進行防禦。

網易雲易盾DDoS高防第一時間響應時加入的監測特徵

Memcache伺服器漏洞披露後，網易雲易盾DDoS高防第一時間進行了響應。即時推送相關消息給用戶進行提醒，並對DDoS檢測特徵庫進行了更新，加強針對此次事件的跟蹤和檢測。同時，運營和專家團隊也7*24小時隨時待命應對可能的升級攻擊。

沈明星指出，網易雲易盾DDoS高防使用了網易自研的流量清洗技術，擁有網易二十年的攻防對抗積累經驗，並經過多次大型事件檢驗，應對此次攻擊事件完全遊刃有餘，所有網易雲易盾用戶均可放心。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！