放大倍數超5萬倍的Memcached DDoS反射攻擊，怎么破？

歡迎大家前往騰訊云+社區，獲取更多騰訊海量技術實踐干貨哦~

作者：騰訊游戲云

背景：Memcached攻擊創造DDoS攻擊流量紀錄

近日，利用Memcached服務器實施反射DDoS攻擊的事件呈大幅上升趨勢。DDoS攻擊流量首次過T，引發業界熱烈回應。現騰訊游戲云回溯整個事件如下：

追溯2 月 27 日消息，Cloudflare 和 Arbor Networks 公司于周二發出警告稱，惡意攻擊者正在濫用 Memcached 協議發起分布式拒絕服務（DDoS）放大攻擊，全球范圍內許多服務器（包括 Arbor Networks 公司）受到影響。下圖為監測到Memcached攻擊態勢。

僅僅過了一天，就出現了1.35Tbps攻擊流量刷新DDoS攻擊歷史紀錄。

美國東部時間周三下午，GitHub透露其可能遭受了有史最強的DDoS攻擊，專家稱攻擊者采用了放大攻擊的新方法Memcached反射攻擊，可能會在未來發生更大規模的分布式拒絕服務（DDoS）攻擊。對GitHub平臺的第一次峰值流量攻擊達到了1.35Tbps，隨后又出現了另外一次400Gbps的峰值，這可能也將成為目前記錄在案的最強DDoS攻擊，此前這一數據為1.1Tbps。

據CNCERT3月3日消息，監測發現Memcached反射攻擊在北京時間3月1日凌晨2點30分左右峰值流量高達1.94Tbps。

騰訊云捕獲多起Memcached反射型DDoS攻擊

截止3月6日，騰訊云已捕獲到多起利用Memcached發起的反射型DDoS攻擊。主要攻擊目標包括游戲、門戶網站等業務。

騰訊云數據監測顯示，黑產針對騰訊云業務發起的Memcached反射型攻擊從2月21日起進入活躍期，在3月1日達到活躍高峰，隨后攻擊次數明顯減少，到3月5日再次出現攻擊高峰。攻擊態勢如下圖所示：

下圖為騰訊云捕獲到的Memcached反射型DDoS攻擊的抓包樣本：

騰訊云捕獲到的Memcached反射源為22511個。Memcached反射源來源分布情況如下圖所示：

在騰訊云宙斯盾安全系統防護下，騰訊云業務在Memcached反射型DDoS攻擊中不受影響。

那么，什么是Memcached反射攻擊？

一般而言，我們會根據針對的協議類型和攻擊方式的不同，把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊類型。

DDoS攻擊的歷史可以追溯到上世紀90年代，反射型DDoS 攻擊則是DDoS攻擊中較巧妙的一種。攻擊者并不直接攻擊目標服務 IP，而是通過偽造被攻擊者的 IP向開放某些某些特殊服務的服務器發請求報文，該服務器會將數倍于請求報文的回復數據發送到那個偽造的IP（即目標服務IP），從而實現隔山打牛，四兩撥千金的效果。而Memcached反射型攻擊因為其高達數萬倍的放大倍數，更加受到攻擊者的青睞。

Memcached反射攻擊，就是發起攻擊者偽造成受害者的IP對互聯網上可以被利用的Memcached的服務發起大量請求，Memcached對請求回應。大量的回應報文匯聚到被偽造的IP地址源，形成反射型分布式拒絕服務攻擊。

為何會造成如此大威脅？

據騰訊云宙斯盾安全團隊成員介紹，以往我們面臨的DDoS威脅，例如NTP和SSDP反射攻擊的放大倍數一般都是30~50之間，而Memcached的放大倍數是萬為單位，一般放大倍數接近5萬倍，且并不能排除這個倍數被繼續放大的可能性。利用這個特點，攻擊者可以用非常少的帶寬即可發起流量巨大的DDoS攻擊。