雲伺服器災難！核彈級DDoS攻擊正在荼毒全球，GitHub首當其衝

近期，一種利用Memcached作為DRDoS放大器進行放大的超大規模DDoS攻擊，引發了安全圈廣泛關注。這種反射型DDoS攻擊能夠達到5萬倍的放大係數，犯罪分子可利用Memcached伺服器通過非常少的計算資源發動超大規模的DDoS攻擊。

目前全球多個雲伺服器均遭到攻擊，而在這場雲伺服器的浩劫中，首當其衝的是GitHub。

本周四，GitHub Engineering發布報告表示，GitHub遭受了有史以來最嚴重的DDoS（分散式拒絕服務）攻擊，致使由於DDoS攻擊，GitHub.com從UTC時間17:21至17:26不可用，並從17:26至17:30間歇性不可用。GitHub透露，這可能是迄今為止規模最大的分散式拒絕服務攻擊。不過，GitHub強調，「我們了解用戶對GitHub的依賴，也知道我們的服務對用戶來講至關重要。請放心，在任何情況下，用戶數據的機密性或完整性都不會存在風險」。

報告顯示，對GitHub平台的第一次峰值流量攻擊達到了1.35Tbps，隨後又出現了另外一次400Gbps的峰值，這可能會成為目前記錄在案的最強DDoS攻擊，此前這一數據為1.1Tbps。

攻擊發生10分鐘後，GitHub向DDoS防禦服務提供商Akamai請求協助，訪問GitHub的流量由後者接管。

攻擊詳解：

此次DDoS攻擊的不同之處在於採用了更先進的放大技術，依靠了基於UDP的Memcached流量。

Memcached是一種用於緩存數據並減少較重數據存儲（如磁碟或資料庫）壓力的工具。其設計初衷是提升內部網路的訪問速度，而且應該是不暴露在互聯網中的。

據Akamai調查，至少有超過5萬台此類伺服器連接到伺服器上，因此非常容易受到攻擊。當系統收到一個Memcached的「get」請求時，它會通過從內存中收集請求的值並將它們返回到一個不間斷的流中來形成響應。

由於此類伺服器沒有認證協議，連接到互聯網中意味著任何人都可以查詢它們，因此攻擊者意識到他們可以通過這一協議來發起攻擊。首先，攻擊者在一個暴露的Memcached伺服器上植入一個大的負載，然後利用目標的源IP欺騙「get」請求消息，以此攻擊更多的目標。

事件發生前，Cloudflare發布了一篇名為《Memcrashed-來自UDP埠11211的主要放大攻擊》（）的文章，解釋了其潛在的威脅：「15位元組的請求會觸發發送給受害目標的134KB的響應。這是10,000的放大因子！在實際操作中，我們看到了一個15位元組的請求結果是750KB的響應（這是51,200倍的放大因子）」。

GitHub也對攻擊產生大量流量作出了解釋：「假IP地址允許Memcached的響應針對另一個地址展開，比如用於服務GitHub.com的地址，並向目標發送更多數據。由於放大因子最多可達51,000，這意味著攻擊者發送的每個位元組，最多可向目標發送51KB的數據。」

如何避免：

在接下來的一段時間內，預計會出現更多利用Memcached進行DRDoS的事件，如果本次攻擊效果被其他DDoS團隊所效仿，將會帶來後果更嚴重的攻擊。因此，安全專家對於

Memcache使用者給出幾條建議：

1.Memcache的用戶建議將服務放置於可信域內，有外網時不要監聽 0.0.0.0，有特殊需求可以設置acl或者添加安全組。

2.為預防機器掃描和ssrf等攻擊，修改memcache默認監聽埠。

3.升級到最新版本的memcache，並且使用SASL設置密碼來進行許可權控制。

對於網路層防禦，目前已有包括NTT在內的多個國外ISP已經對UDP11211進行限速。同時，安全專家表示，互聯網服務提供商應當禁止在網路上執行IP欺騙。IP欺騙DRDoS的根本原因。具體措施可以參考BCP38。

此外，安全專家也建議ISP應允許用戶使用 BGP flowspec 限制入站UDP11211的流量，以減輕大型DRDoS攻擊時的擁堵。

關注我們，看最有料的雲計算

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！