阿里云優惠券 先領券再下單

基于Memcached服務的反射攻擊，由于其 5萬倍的反射比例，從一開始出現就成為DDoS攻擊界的“新寵”。隨著Memcached反射攻擊方式被黑客了解和掌握，利用Memcached服務器實施反射DDOS攻擊的事件呈大幅上升趨勢。2018年2月28日，知名代碼托管網站GitHub遭受了Memcached DRDoS攻擊，最大峰值流量達到了驚人的 1.35T，Memcached DRDoS攻擊迅速引起安全廠商重視。近期，針對其最新動態百度安全發布了 Memcached DRDoS攻擊趨勢報告。

Memcached DRDoS攻擊數量逐漸增多，宿遷地區成重災區

Memcached反射攻擊利用了在互聯網上暴露的大批量Memcached服務器(一種分布式緩存系統)存在的認證和設計缺陷，攻擊者通過向Memcached服務器 IP地址的默認端口11211發送偽造受害者IP地址的特定指令UDP數據包，使Memcached服務器向受害者 IP地址返回比請求數據包大的數據，從而進行反射攻擊。百度安全通過監測發現，從2018年2月25號開始，Memcached DRDoS攻擊數量逐漸增多，3月初，Memcached DRDoS攻擊只占總體攻擊的5%，三月中旬以后，逐漸超過10%，現在穩定在10%-20%之間波動，最近一周增長到30%。

通過對采樣的反射源產生的攻擊包進行聚類匯總發現，中國占比最高，美國，俄羅斯緊隨其后，國內分布的狀況則是杭州的反射源產生的攻擊包最多。抽樣分析反射源使用的Memcached版本發現1.4.15使用占比最多，通過對攻擊者使用Memcached DRDoS的攻擊目標進行分析發現宿遷地區遭受的攻擊最多。

放大倍數可達十幾萬倍，危害程度遠高于其他反射攻擊類型

從放大倍數來看，Memcached反射攻擊的危害程度遠遠高于其他反射攻擊類型。CF在2月份發布文章稱，檢測到發送15字節的包，收到750k字節的包，從而計算出反射倍數是51200倍。CF提出的5萬倍僅僅是按響應數據與請求數據的比例計算得到的，但DDoS攻擊消耗的是網絡帶寬資源，所以真實的放大倍數必須考慮數據包的實際網絡數據流長度。按照CF檢測到的數據重新計算，750字節產生的網絡流量達到804205.7，實際反射倍數則是9573.9倍。但不管怎么樣的差距，都不會影響Memcached反射攻擊成為DRDoS的TOP 1。當然事實上，即使如何嚴謹的計算放大倍數，此類攻擊還是有進一步放大的案例。

Memcached的VALUE默認設置的最大長度是1Mbyte。單個get a請求后可實現的反射倍數達到13071.5倍。雖然直接調大VALUE的值放大倍數還不足2萬倍，但通過一些攻擊技巧還是能實現反射倍數達到十幾萬倍，百度安全近期就捕獲到使用了一種技巧實現了這樣的放大效果的攻擊事件。攻擊者在一個請求中，使用了多次查詢，通過在一個UDP包中執行多條get指令，Memcached服務器返回大量的多條數據包，由于UDP包本身的長度要占用66字節，通過這樣的節省UDP包發送條數的手法，達到比之前單條發送要放大更多倍的效果，實際捕獲的攻擊實例中反射倍數為26471.4倍。理論上這不是最高的放大倍數，當GET指令的個數增加時，反射比例還會增大，加上優化payload，最終能實現十幾萬倍的反射效果。實際的環境中，反射比例要小的多，一方面，是由于Memcached服務器的性能決定，另一方面UDP存在一定比例的丟包，甚至還有空響應的。

加固Memcached系統防護，遏制反射攻擊危害

面對規模如此之大、危害如此之高的Memcached反射攻擊，百度安全專家向Memcached系統用戶提出了幾點防護建議。

1、在Memcached服務器或者其上聯的網絡設備上配置防火墻策略，僅允許授權的業務IP地址訪問Memcached服務器，攔截非法的訪問。

2、更改Memcached服務的監聽端口為11211之外的其他大端口，避免針對默認端口的惡意利用。

3、除非特殊必要，不開啟Memcached UDP服務，最新版本的Memcached已經默認不開啟UDP服務。

4、升級到最新的Memcached軟件版本，配置啟用SASL認證等權限控制策略(在編譯安裝Memcached程序時添加-enable-sasl選項，并且在啟動Memcached服務程序時添加-S參數，啟用SASL認證機制以提升Memcached的安全性。

Memcached反射攻擊可高達十幾萬倍的反射能力，不僅對攻擊目標造成極大的損害，也會大大增加反射源的負載而影響自有業務運行。黑客的攻擊無時不在，服務提供者、IDC和云平臺要時刻提高安全意識，同時還需要在服務端做好防御準備，比如增加 ACL過濾規則和 DDoS清洗服務。此外，百度智云盾通過設置開放服務白名單的方式對所有入向流量進行校驗，不符合白名單的開放服務地址來源流量都被黑洞，有效的遏制了反射攻擊的危害。未來，智云盾將持續跟蹤Memcached反射攻擊威脅態勢，完善安全威脅監測和防御能力，為網站安全保駕護航。(作者：李冉)

申請創業報道，分享創業好點子。點擊此處，共同探討創業新機遇！