面对放大倍数超5万倍的Memcached DDoS反射攻击该怎么办？

在今年年初，多个安全公司发布安全警告，称Memcached服务器已经遭到网络犯罪分子的滥用，在他们的终端上使用非常少的计算资源发起大规模的分布式拒绝服务（DDoS）攻击，全球范围内许多服务器（包括 Arbor Networks 公司）受到影响。

一、什么是Memcached?

Memcached是一套分布式的高速缓存系统，它最初是由综合型SNS交友网站LiveJournal的创建者美国程序员Brad Fitzpatrick开发的。在全球范围内，Memcached已经被许多网站持有者用来提升其网站的访问速度。尤其对于一些大型的或者需要频繁访问数据库的网站来说，其提升访问速度的效果十分显著。

二、攻击者是如何利用Memcached发起攻击？

Memcache服务器实现了对UDP协议的支持,而且还会以默认配置将其UDP端口暴露给外部连接，这意味着任何不在防火墙后面的Memcache服务器现在都可能被滥用于发起DDoS攻击。攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包（stats、set/get指令），以欺骗服务器向受害者IP地址返回比原始数据包大数倍的数据（理论最高可达5.12万倍），从而实现反射式DDoS攻击。

三、利用Memcached发起的攻击威胁有多大？

GitHub是全球最知名的开源代码库之一，拥有超过900万开发者用户，而黑客就是利用Memcached对GitHub平台发起了DDOS攻击，第一次峰值流量攻击达到了1.35Tbps，随后又出现了另外一次400Gbps的峰值，这可能也将成为目前记录在案的最强DDoS攻击，此前这一数据为1.1Tbps。以往我们面临的DDoS威胁，例如NTP和SSDP反射攻击一般都是的放大到30~50倍之间，而Memcached的放大倍数是万为单位，一般放大倍数接近5万倍，且并不能排除这个倍数被继续放大的可能性。利用这个特点，攻击者可以用非常少的带宽即可发起流量巨大的DDoS攻击。

四、如何做好防范措施？

1、确保Memcache服务器在连接到互联网时受到了防火墙的限制；

2、如果不经常使用的话，建议Memcache服务器所有者禁用UDP端口，确保服务器不能从Web访问；

3、升级到最新的memcached软件版本，配置启用SASL认证等权限控制策略；

4、企业自身加强网络安全意识，加强监测，重点加强Memcached服务端口的流量监测，及时发现并处置异常情况。

现在这个互联网环境，网络攻击门槛和技术要求越来越低，DDoS攻击风险逐步升级，仅2018年上半年的DDOS攻击事件就比去年翻了一倍，企业面对这样的网络安全环境，建议配置墨者安全超大容量高防产品，特别是门户、金融、游戏等DDoS攻击重灾区行业更应该提高警惕，这才能让企业在在面对大流量DDoS攻击威胁时，保证业务不受影响，避免企业受到重点损失。