Github網站遭受最大的DDoS攻擊高達1.35 Tbs

最近或許可以託詞比較忙，反映有點滯後了。不過還是希望一起看一下最近熱火GitHub遭受DDoS攻擊事件。在2018年2月28日，也就是上周三，GitHub的網站遭遇了有史以來最大規模的一次分散式拒絕服務攻擊，最高達到1.35Tbps。

本次攻擊，並不是攻擊者攜帶巨量的殭屍網路進行攻擊，而是使用了錯誤配置的Memcached伺服器。Github已經證實，這次攻擊利用了Memcached進行放大攻擊，通過每秒1.269億個數據包以1.35Tbps的速度達到峰值。

上周周二，國外安全網站也有報道，關於Memcached伺服器可能被濫用作為DDoS放大攻擊的文章。上周二，即27號文章提到，Cloudflare、ArborNetworks和我國的奇虎360的安全研究人員，發現黑客正在濫用「Memcached」，以達到5.12萬倍的DDoS放大攻擊。而攻擊發生也就是緊接下來的28號，GitHub即遭受到史上最大的DDoS攻擊。Memcached是一個流行的開源且易於部署的分散式緩存系統，它允許將對象存儲在內存中，並且設計為可與大量開放式連接一起使用。Memcached伺服器通過TCP或UDP埠11211運行。

如何修復Memcached伺服器？國外媒體給出一些簡單建議以及看法如下。

防止Memcached伺服器被濫用為反射器的最簡單方法之一是防火牆，阻止或限制源埠11211上的UDP。

由於Memcached偵聽INADDR_ANY並在預設情況下啟用UDP支持的情況下運行，因此建議管理員禁用UDP支持如果他們沒有使用它。

同時，安全研究人員認為，此類DDoS放大攻擊在未來，可能被利用起來發起更大規模的攻擊。

我國安全相關管理部門給出處置建議是：

１、建議主管部門、安全機構和基礎電信企業推動境內memcached伺服器的處置工作，特別是近期被利用發動DDoS攻擊的memcached伺服器：

1）在memcached伺服器或者其上聯的網路設備上配置防火牆策略，僅允許授權的業務IP地址訪問memcached伺服器，攔截非法的非法訪問。

2）更改memcached服務的監聽埠為11211之外的其他大埠，避免針對默認埠的惡意利用。

3）升級到最新的memcached軟體版本，配置啟用SASL認證等許可權控制策略（在編譯安裝memcached程序時添加-enable-sasl選項，並且在啟動memcached服務程序時添加-S參數，啟用SASL認證機制以提升memcached的安全性）。

２、建議基礎電信企業、雲服務商及IDC服務商在骨幹網、城域網和IDC出入口對源埠或目的埠為11211的UDP流量進行限速、限流和阻斷，對被利用發起memcached反射攻擊的用戶IP進行通報和處置。

3、建議相關單位對其他可能被利用發動大規模反射攻擊的伺服器資源（例如NTP伺服器和SSDP主機）開展摸排，對此類反射攻擊事件進行預防處置。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！