放大倍数超 5 万倍的 Memcached DDoS 反射攻击，怎么破？

背景 Memcached 攻击创造 DDoS 攻击流量纪录

近日，利用 Memcached 服务器实施反射 DDoS 攻击的事件呈大幅上升趋势。DDoS 攻击流量首次过 T，引发业界热烈回应。现腾讯游戏云回溯整个事件如下：

追溯 2 月 27 日消息，Cloudflare 和 Arbor Networks 公司于周二发出警告称，恶意攻击者正在滥用 Memcached 协议发起分布式拒绝服务（DDoS）放大攻击，全球范围内许多服务器（包括 Arbor Networks 公司）受到影响。

下图为监测到 Memcached 攻击态势

仅仅过了一天，就出现了 1.35Tbps 攻击流量刷新 DDoS 攻击历史纪录。

美国东部时间周三下午，GitHub 透露其可能遭受了有史最强的 DDoS 攻击，专家称攻击者采用了放大攻击的新方法 Memcached 反射攻击，可能会在未来发生更大规模的分布式拒绝服务（DDoS）攻击。对 GitHub 平台的第一次峰值流量攻击达到了 1.35Tbps，随后又出现了另外一次 400Gbps 的峰值，这可能也将成为目前记录在案的最强 DDoS 攻击，此前这一数据为 1.1Tbps。

据 CNCERT3 月 3 日消息，监测发现 Memcached 反射攻击在北京时间 3 月 1 日凌晨 2 点 30 分左右峰值流量高达 1.94Tbps。

腾讯云捕获多起 Memcached 反射型 DDoS 攻击

截止 3 月 6 日，腾讯云已捕获到多起利用 Memcached 发起的反射型 DDoS 攻击。主要攻击目标包括游戏、门户网站等业务。

腾讯云数据监测显示，黑产针对腾讯云业务发起的 Memcached 反射型攻击从 2 月 21 日起进入活跃期，在 3 月 1 日达到活跃高峰，随后攻击次数明显减少，到 3 月 5 日再次出现攻击高峰。攻击态势如下图所示：

下图为腾讯云捕获到的 Memcached 反射型 DDoS 攻击的抓包样本：

腾讯云捕获到的 Memcached 反射源为 22511 个。Memcached 反射源来源分布情况如下图所示：

在腾讯云宙斯盾安全系统防护下，腾讯云业务在 Memcached 反射型 DDoS 攻击中不受影响。

那么，什么是 Memcached 反射攻击？

一般而言，我们会根据针对的协议类型和攻击方式的不同，把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各类攻击类型。

DDoS 攻击的历史可以追溯到上世纪 90 年代，反射型 DDoS 攻击则是 DDoS 攻击中较巧妙的一种。攻击者并不直接攻击目标服务 IP，而是通过伪造被攻击者的 IP 向开放某些某些特殊服务的服务器发请求报文，该服务器会将数倍于请求报文的回复数据发送到那个伪造的 IP（即目标服务 IP），从而实现隔山打牛，四两拨千金的效果。而 Memcached 反射型攻击因为其高达数万倍的放大倍数，更加受到攻击者的青睐。

Memcached 反射攻击，就是发起攻击者伪造成受害者的 IP 对互联网上可以被利用的 Memcached 的服务发起大量请求，Memcached 对请求回应。大量的回应报文汇聚到被伪造的 IP 地址源，形成反射型分布式拒绝服务攻击。

为何会造成如此大威胁？

据腾讯云宙斯盾安全团队成员介绍，以往我们面临的 DDoS 威胁，例如 NTP 和 SSDP 反射攻击的放大倍数一般都是 30~50 之间，而 Memcached 的放大倍数是万为单位，一般放大倍数接近 5 万倍，且并不能排除这个倍数被继续放大的可能性。利用这个特点，攻击者可以用非常少的带宽即可发起流量巨大的 DDoS 攻击。

安全建设需要未雨绸缪

早在 Memcached 反射型 DDoS 攻击手法试探鹅厂业务之时，腾讯云已感知到风险并提前做好部署，这轮黑客基于 Memcached 反射发起的 DDoS 攻击都被成功防护。

与此同时，腾讯云在捕获到 Memcached 攻击后，及时协助业务客户自查，提供监测和修复建议以确保用户的服务器不被用于发起 DDoS 攻击。

应对超大流量 DDoS 攻击的安全建议

DDoS 攻击愈演愈烈，不断刷新攻击流量纪录，面临超越 Tbps 级的超大流量攻击，腾讯云宙斯盾安全产品团队建议用户做以下应对：

1.需要加强对反射型 UDP 攻击的重点关注，并提高风险感知能力

反射型 UDP 攻击占据 DDoS 攻击半壁江山。根据 2017 年腾讯云游戏行业 DDoS 攻击态势报告显示，反射型 UDP 攻击占了 2017 年全年 DDoS 攻击的 55%，需要重点关注此种类型攻击。

此次 Memcached 反射型攻击作为一种较新型的反射型 UDP 攻击形式出现，带来巨大安全隐患，需要业界持续关注互联网安全动态，并提高风险感知能力，做好策略应对。在行业内出现威胁爆发时进行必要的演练。

2.应对超大流量攻击威胁，建议接入腾讯云宙斯盾安全产品

应对逐步升级的 DDoS 攻击风险。建议配置宙斯盾高防 IP 产品，隐藏源站 IP。用高防 IP 充足的带宽资源应对可能的大流量攻击行为，并根据业务特点制定个性化的防护策略，被 DDoS 攻击时才能保证业务可用性，从容处理。在面对高等级 DDoS 威胁时，及时升级防护配置，必要时请求 DDoS 防护厂商的专家服务。

3.易受大流量攻击行业需加强防范

门户、金融、游戏等往年易受黑产死盯的行业需加强防范，政府等 DDoS 防护能力较弱的业务需提高大流量攻击的警惕。

风险往往曾经出现过苗头，一旦被黑产的春风点起，在毫无防护的情形之下，就会燃起燎原大火。

本文转载自公众号云加社区（ID：QcloudCommunity）。

原文链接：

https://mp.weixin.qq.com/s/VuioGvgIRU4LkrIZuW5uQg