黑客武庫升級DDoS電磁炮 威力已不止癱瘓美國半張互聯網

DDoS攻擊一直是黑客們鍾愛的武器，因為簡單粗暴沒什麼技術手段含量，但是又收效顯著。中招的目標如果沒有防護措施或反應不及，通常就這樣在四面八發湧來的訪問請求下癱瘓了。就在昨天，DDoS攻擊在途徑上又發生了一次「升級」，製造了史上流量規模最大的DDoS攻擊，受害者是知名的開發者社區Github。

Github在高達1.35Tbps的流量衝擊之下發生了短暫的間歇性訪問不能，它隨即自動向自己的DDoS攻擊轉移服務發出流量清洗請求，後者藉助最新部署的針對性轉移系統替Github過濾掉那些攻擊數據包。在攻擊持續了8分鐘之後，發起者便停手了，似乎非常滿意這次它所搞出的動靜。

實施DDoS攻擊在早期需要一張龐大的殭屍網路，提前取得肉雞的控制權後隨便搞點什麼動靜，哪怕是集體一起對目標ping過去，目標一般也不容易消受得起。這麼做有成本，準備工作耗時也比較長，至少要得先搞到殭屍網路吧。

後來攻擊者們開始考慮怎樣提升攻擊效率和自己的隱蔽性，開始採用反射式放大攻擊。通過向一個不相干的伺服器提交特別設計的請求數據包，誘騙它向攻擊目標而非攻擊源返回一個大小增長數倍的數據包，達到放大攻擊規模的目的。因為DDoS攻擊的本質其實就是用無用的請求塞滿攻擊對象的帶寬讓它無法響應正常訪問的請求，放大過後的數據包要吃盡目標當然也更簡單些。

過去比較常見的反射式放大DDoS攻擊通常會走DNS伺服器、NTP伺服器，只有10~20倍左右放大，而保護我們不被有害信息侵蝕思想的安全圈放大倍率也只有100倍，但這次新出現的memcached伺服器跳板攻擊規模大到反常，每10秒向每一個memcached伺服器發送一個攻擊包，跳板彈回給攻擊目標的就會被放大成威力5萬倍的電磁炮。1.35Tbps啥概念呢？2016年導致美國東海岸大部網路癱瘓的那場DDoS攻擊，流量規模大概是1.2Tbps，如果沒有適當的措施進行對抗的話，沒有什麼網路能扛得下來這種規模的野蠻洪流。

memcached伺服器，原本是用來加速網路和網站的資料庫緩存系統，這些伺服器理應不被暴露在公網上，因為任何人都可以對它們發起查詢請求，而它也不會在乎自己的結果要發回給誰。目前大約有10萬台商業或研究機構的memcached伺服器全裸在互聯網上觸手可及的地方，無需任何驗證，只要哪個黑客有心，送它一個特別的攻擊包，它會毫不猶豫地打開潘多拉魔盒。

memcached伺服器作為跳板並不是最近才發生的事情，但規模一直很小，為何黑客這周以來突然又對它青睞有加，一部分原因當然是既不用安插惡意軟體，也不用培植殭屍網路，又省事又隱蔽；更可能的是memcached伺服器最近的暴露程度增加了，掃描它們的黑客數量也開始多了起來。

所幸的是，站在明處的ISP和網路安全機構也在強化它們的流量篩選甄別方法，並把相當一部分memcached伺服器反射式放大攻擊在源頭就掐斷了；而我國在差不多一年之前工信部也對所有骨幹網機房做出要求，增加防火牆校驗源IP，若得以實施，位於中國大陸的機房會因為暴露風險升高而不適合作為反射放大攻擊的發動地和承載跳板。

這次針對GitHub的攻擊，可以更多地將其視為是一種對攻擊手段的宣傳，向有意向的客戶展示這種攻擊的威力，同時也試驗其在實際行動中的效果。未來它完全有可能會成為互聯網行業里那些見不得人爭鬥雙方手裡的兇器，但最後往往唯一的勝者只有坐在暗處偷偷數錢的黑客。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！