1.7 Tbps！Memcached DDoS攻擊峰值再次刷新！

2018年2月28日，發生一起典型的反射型 DDoS 攻擊：知名代碼託管網站 GitHub 遭遇史上大規模 Memcached DDoS 攻擊，流量峰值高達1.35 Tbps。本次攻擊不同之處在於採用了更先進的放大技術，目的是針對主機伺服器產生更嚴重的影響。

之所以被稱作放大的DDoS攻擊，是因為攻擊者利用 Memcached 協議，發送大量帶有被害者IP地址的 UDP 數據包給主機，然後放大，主機對偽造的IP地址源做回應，形成分散式拒絕服務攻擊，從而形成DRDoS反射。

然而，事情才過去五天，DDoS攻擊再次刷新紀錄。經 Arbor Networks 證實，這起 DDoS 攻擊的峰值創新高，達到1.7 Tbps，甚至達到2Tbps！這讓超過10萬個mencached伺服器陷入水火之中。攻擊者利用DDOS攻擊方式開啟了前所未有的速度，將其放大至51000倍，這樣來說理論上攻擊一台100Mbps上傳速度的計算機，將會被5Tbps的DDOS流量攻擊全部填滿！

最近一周，利用Memcache放大的攻擊事件迅速上升，攻擊頻率從每天不足50件呈爆髮式上升。

DDoS攻擊資源

根據CNCERT1月發布的《我國 DDoS 攻擊資源月度分析報告》中顯示，DDoS 攻擊主要是在以下網路資源上發起的：

·控制端資源：指用來控制大量的殭屍主機節點向攻擊，目標發起 DDoS 攻擊的木馬或殭屍網路控制端。

·肉雞資源：指被控制端利用，向攻擊目標發起 DDoS攻擊的受控主機節點。

·反射伺服器資源：指能夠被黑客利用發起反射攻擊的伺服器、主機等設施，它們提供的網路服務中，如果存在某些網路服務，不需要進行認證並且具有放大效果，又在互聯網上大量部署（如 DNS 伺服器，NTP 伺服器等），它們就可能成為被利用發起 DDoS 攻擊的網路資源。

·反射攻擊流量來源路由器：指轉發了大量反射攻擊發起流量的運營商路由器。由於反射攻擊發起流量需要偽造IP 地址，因此反射攻擊流量來源路由器本質上也是跨域偽造流量來源路由器或本地偽造流量來源路由器。由於反射攻擊形式特殊，本報告將反射攻擊流量來源路由器單獨統計。

·跨域偽造流量來源路由器：是指轉發了大量任意偽造IP 攻擊流量的路由器。由於我國要求運營商在接入網上進行源地址驗證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗證配置可能存在缺陷，且該路由器下的網路中存在發動 DDoS 攻擊的設備。

·本地偽造流量來源路由器：是指轉發了大量偽造本區域 IP 攻擊流量的路由器。說明該路由器下的網路中存在發動DDoS 攻擊的設備。

最佳實踐

由於近年來DDoS攻擊變得更複雜和更具欺騙性而加劇。它們不再僅僅是為了拒絕服務而設計，更多的是為了掩蓋其他惡意活動(通常是數據盜竊和網路滲透)破壞安全性。

為了應對裝備精良、資金充足並且日益複雜的網路攻擊，組織必須保持全面的網路可視性，以便發現和解決任何潛在的入侵事件。

在未來的一年中，DDoS攻擊將繼續被認為是一個複雜的、不斷演變的威脅，經常被用來作為對組織網路防禦的更加廣泛攻擊的一部分。

強大的安全態勢涉及到單個平台，IT團隊可以將DDoS活動與其他任何威脅相關聯。只有部署一個始終在線的DDoS緩解系統，可以檢測和緩解所有DDoS攻擊，並將其作為深度安全策略的一部分，從而使安全團隊能夠保護自己免受網路犯罪分子的威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！