放大倍數超5萬倍的Memcached DDoS反射攻擊，怎麼破？

歡迎你們前往騰訊雲+社區，獲取更多騰訊海量技術實踐乾貨哦~

做者：騰訊遊戲雲

背景：Memcached攻擊創造DDoS攻擊流量紀錄

近日，利用Memcached服務器實施反射DDoS攻擊的事件呈大幅上升趨勢。DDoS攻擊流量首次過T，引起業界熱烈迴應。現騰訊遊戲雲回溯整個事件以下：

追溯2 月 27 日消息，Cloudflare 和 Arbor Networks 公司於週二發出警告稱，惡意攻擊者正在濫用 Memcached 協議發起分佈式拒絕服務（DDoS）放大攻擊，全球範圍內許多服務器（包括 Arbor Networks 公司）受到影響。下圖爲監測到Memcached攻擊態勢。

僅僅過了一天，就出現了1.35Tbps攻擊流量刷新DDoS攻擊歷史紀錄。

美國東部時間週三下午，GitHub透露其可能遭受了有史最強的DDoS攻擊，專家稱攻擊者採用了放大攻擊的新方法Memcached反射攻擊，可能會在將來發生更大規模的分佈式拒絕服務（DDoS）攻擊。對GitHub平臺的第一次峯值流量攻擊達到了1.35Tbps，隨後又出現了另一次400Gbps的峯值，這可能也將成爲目前記錄在案的最強DDoS攻擊，此前這一數據爲1.1Tbps。

據CNCERT3月3日消息，監測發現Memcached反射攻擊在北京時間3月1日凌晨2點30分左右峯值流量高達1.94Tbps。

騰訊雲捕獲多起Memcached反射型DDoS攻擊

截止3月6日，騰訊雲已捕獲到多起利用Memcached發起的反射型DDoS攻擊。主要攻擊目標包括遊戲、門戶網站等業務。

騰訊雲數據監測顯示，黑產針對騰訊雲業務發起的Memcached反射型攻擊從2月21日起進入活躍期，在3月1日達到活躍高峯，隨後攻擊次數明顯減小，到3月5日再次出現攻擊高峯。攻擊態勢以下圖所示：

下圖爲騰訊雲捕獲到的Memcached反射型DDoS攻擊的抓包樣本：

騰訊雲捕獲到的Memcached反射源爲 22511個**。**Memcached反射源來源分佈狀況以下圖所示：

在騰訊雲宙斯盾安全系統防禦下，騰訊雲業務在Memcached反射型DDoS攻擊中不受影響。

那麼，什麼是Memcached反射攻擊？

通常而言，咱們會根據針對的協議類型和攻擊方式的不一樣，把 DDoS 分紅 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各種攻擊類型。

DDoS攻擊的歷史能夠追溯到上世紀90年代，**反射型DDoS 攻擊則是DDoS攻擊中較巧妙的一種。**攻擊者並不直接攻擊目標服務 IP，而是經過僞造被攻擊者的 IP向開放某些某些特殊服務的服務器發請求報文，該服務器會將數倍於請求報文的回覆數據發送到那個僞造的IP（即目標服務IP），從而實現隔山打牛，四兩撥千金的效果。而Memcached反射型攻擊由於其高達數萬倍的放大倍數，更加受到攻擊者的青睞。

Memcached反射攻擊，就是發起攻擊者僞形成受害者的IP對互聯網上能夠被利用的Memcached的服務發起大量請求，Memcached對請求迴應。大量的迴應報文匯聚到被僞造的IP地址源，造成反射型分佈式拒絕服務攻擊。

爲什麼會形成如此大威脅？

據騰訊雲宙斯盾安全團隊成員介紹，以往咱們面臨的DDoS威脅，例如NTP和SSDP反射攻擊的放大倍數通常都是30~50之間，而Memcached的放大倍數是萬爲單位，通常放大倍數接近5萬倍，且並不能排除這個倍數被繼續放大的可能性。利用這個特色，攻擊者能夠用很是少的帶寬便可發起流量巨大的DDoS攻擊。

安全建設須要未雨綢繆

早在Memcached反射型DDoS攻擊手法試探鵝廠業務之時，騰訊雲已感知到風險並提早作好部署，這輪黑客基於Memcached反射發起的DDoS攻擊都被成功防禦。

與此同時，騰訊雲在捕獲到Memcached攻擊後，及時協助業務客戶自查，提供監測和修復建議以確保用戶的服務器不被用於發起DDoS攻擊。

應對超大流量DDoS攻擊的安全建議

DDoS攻擊愈演愈烈，不斷刷新攻擊流量紀錄，面臨超越Tbps級的超大流量攻擊，騰訊雲宙斯盾安全產品團隊建議用戶作如下應對：

1.須要增強對反射型UDP攻擊的重點關注，並提升風險感知能力

反射型UDP攻擊佔據DDoS攻擊半壁江山。根據2017年騰訊雲遊戲行業DDoS攻擊態勢報告顯示，反射型UDP攻擊佔了2017年整年DDoS攻擊的55%，須要重點關注此種類型攻擊。

這次Memcached反射型攻擊做爲一種較新型的反射型UDP攻擊形式出現，帶來巨大安全隱患，須要業界持續關注互聯網安全動態，並提升風險感知能力，作好策略應對。在行業內出現威脅爆發時進行必要的演練。

2.應對超大流量攻擊威脅，建議接入騰訊雲超大容量高防產品

應對逐步升級的DDoS攻擊風險。建議配置騰訊雲超大容量高防產品，隱藏源站IP。用高防IP充足的帶寬資源應對可能的大流量攻擊行爲，並根據業務特色制定個性化的防禦策略，被DDoS攻擊時才能保證業務可用性，從容處理。在面對高等級DDoS威脅時，及時升級防禦配置，必要時請求DDoS防禦廠商的專家服務。

瞭解騰訊雲超大容量高防產品：suo.im/2Jw4VK

3.易受大流量攻擊行業需增強防範

門戶、金融、遊戲等往年易受黑產死盯的行業需增強防範，政府等DDoS防禦能力較弱的業務需提升大流量攻擊的警戒。

風險每每曾經出現過苗頭，一旦被黑產的春風點起，在毫無防禦的情形之下，就會燃起燎原大火。

參考連接：

blog.cloudflare.com/memcrashed-…

mp.weixin.qq.com/s/b0TXg_7Q9…

相關閱讀

Unity引擎與C#腳本簡介

基於騰訊雲的視頻聊天研究

ios微信內存監控

---

此文已由做者受權騰訊雲+社區發佈，轉載請註明文章出處

原文連接：cloud.tencent.com/developer/a…