解决放大攻击性DDoS攻击案例

3423411614c

Memcache服务器可被利用进行大规模DDoS攻击

最近相关研究人员发现，黑客可以利用少量的Memcache服务器资源发动大规模的DDoS攻击。经研究，这种类型的DDoS攻击是很可能实现的，因为Memcache开发者已经在他们的产品中实现了对UDP协议的支持。
此外，更糟糕的是，Memcache服务器还会将他们的UDP端口暴露在默认配置的外部连接中，这意味着任何不支持防火墙的Memcache服务器现在都可以被用于DDoS攻击。
Memcache服务器可用于发动反射型DDoS攻击
研究人员表示，他们已经在过去几天内检测到通过暴露的Memcached服务器进行的多次DDoS攻击。目前，该检测报告已经发布。
具体过程是这样的，黑客通过端口11211向Memcached服务器发送小字节的请求。由于UDP协议没有被正确执行，因此Memcache服务器并未以类似或更小的包予以响应，所以Memcache服务器有时会使用的响应数据包比初始请求大数千倍。
因为数据包是UDP协议，所以它的源IP地址就很容易被欺骗，这意味着攻击者可以诱骗Memcache服务器将这个过大的响应数据包发送到另一个IP地址即受害者的IP。
在DDoS的社交论坛中，黑客把这种类型的DDoS攻击被称为“reflective DDoS”或“reflection DDoS”。响应数据包被放大多少倍，DDoS 攻击的能量就会相应放大多少，行话称为DDoS攻击的“放大系数”。
Memcache的放大倍数可高达51200倍
据分析，基于Memcache的反射型DDoS攻击可能具有高达51200的“放大系数”。
这个数据来源于Cloudflare所检测到的一次DDoS攻击，当时攻击者发送了15字节的数据包，而Memcache则服务器使用了750kB数据包进行了响应。
不过，这种“放大系数”可能会在不同环境下有所不同，具体取决于攻击者制作恶意请求的能力，攻击者构造的恶意请求规模越大，响应的数据包也就越多。
Cloudflare还表示，过去两天所检测到的基于Memcache的反射型DDoS攻击最大规模高达每秒260Gbp和每秒23 Mpp（百万包）。
工程师Marek Majkowski表示：
大部分Memcache响应的数据包的大小为1400字节，用23Mppx1400字节等于257Gbp，即提供了每秒257Gbp的带宽。

数字不会撒谎，对于一个新出现的攻击规模量来说，这个规模确实非常巨大。因为奇虎360的网络安全研究实验室（Netlab）提供的公开统计数据也显示，Memcache服务器的使用量突然增加，成为反射型DDoS的攻击源头。

目前可利用的Memcache服务器已超过9.3万台，可被用于发动反射型DDoS攻击的其它协议和技术还包括DNS、TFTP、LDAP、CLDAP、SNMP、BitTorrent等。
他们所能达到的“放大系数”通常在2到10之间，最大可达50到100。很少会发现DDoS攻击的“放大系数”会超过100的案例，更不用说10000或50000，但Memcache 的放大倍数却做到了。
攻击范围
Memcache并不会成为流行的网页缓存解决方案，所以这类攻击不会造成大范围的影响。
虽然Bleeping Computer发现超过93000个Memcache服务器可以在线访问，但相比于2015年的134000访问量已经很少了。
缓解措施
德迅安全专家建议所有Memcache服务器的使用者如果不使用UDP端口则将他们关闭，并将这些服务器置于个人网络中并部署防火墙进行保护。