亲历历史！史上首个核弹级DDoS攻击正在荼毒全球

墨云

今天，360网络安全响应中心（360 Cert）发出预警，称监测到一种利用Memcache作为DRDoS放大器进行放大的超大规模DDoS攻击，这种反射型DDoS攻击能够达到5万倍的放大系数，犯罪分子可利用Memcache服务器通过非常少的计算资源发动超大规模的DDoS攻击。

360 Cert表示目前全球多个云服务器均遭到攻击，未来可能有更多利用Memcached进行DRDoS的事件发生。

实际上，早在2017年6月，360信息安全部0kee Team就发现了这种利用Memcache放大的攻击技术，并在2017年11月通过PoC 2017安全会议对安全社区做出了预警。360 CERT QUAKE全网测绘显示，目前在外开放的Memcache存储系统数量级在十万左右，都可能会受到此类攻击影响。从国家分布上来看，开放主机数量上，美国第一，中国第二，但受影响的数量却相反。

DDoS攻击是通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。举例来说，就是一个正常营业的商铺，被大量假冒的顾客占满了，没有办法为真正的顾客提供服务，这个商铺就是DDoS攻击的受害者。

360 CERT团队介绍，这种利用Memcache作为DRDoS放大器进行放大的DDoS攻击，利用Memcached协议，发送大量带有被害者ip地址的UDP数据包给放大器主机，然后放大器主机对伪造的IP地址源做出大量回应，形成分布式拒绝服务攻击，从而形成DRDoS反射。

据了解，在近几日发现的利用Memcache放大的攻击事件中，攻击者向端口11211上的 Memcache服务器发送小字节请求。由于 UDP协议并未正确执行，因此 Memcache服务器并未以类似或更小的包予以响应，而是以有时候比原始请求大数千倍的包予以响应。也就是说攻击者能诱骗 Memcache服务器将过大规模的响应包发送给受害者。

Memcache攻击放大系数可高达5万倍

这种类型的 DDoS攻击被称为“反射型 DDoS”或“反射 DDoS”。响应数据包被放大的倍数被称为 DDoS攻击的“放大系数”。目前常见反射类DDoS攻击的放大系数，一般是20到100之间。放大系数超过1000的反射型 DDoS攻击本身就非常罕见，而本次高达5万倍放大系数被实际应用在DDoS攻击战场上，是DDoS历史上首次出现的超高倍数DDOS攻击事件，可以说是核弹级的攻击手法。

这也是本次Memcrashed技术特点之一——反射倍数较大，已经确认可以稳定的达到5万倍，此外，本次攻击事件的反射点带宽充裕，且主要来自IDC机房服务器。

最近一周，利用Memcache放大的攻击事件迅速上升，攻击频率从每天不足50件爆发式上升到每天300~400件，而实际现网中，已经出现了 0.5Tbps 的攻击。360Cert表示，可能有更大的攻击案例并未被公开报道。

在接下来的一段时间内，360安全团队预计会出现更多利用Memcached进行DRDoS的事件，如果本次攻击效果被其他DDoS团队所效仿，将会带来后果更严重的攻击。因此，360安全专家对于Memcache使用者给出几条建议：

1.Memcache的用户建议将服务放置于可信域内，有外网时不要监听 0.0.0.0，有特殊需求可以设置acl或者添加安全组。

2.为预防机器器扫描和ssrf等攻击，修改memcache默认监听端口。

3.升级到最新版本的memcache，并且使用SASL设置密码来进行权限控制。

对于网络层防御，360安全专家表示目前已有包括NTT在内的多个国外ISP已经对UDP11211进行限速。同时，安全专家表示，互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。

此外，安全专家也建议ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量，以减轻大型DRDoS攻击时的拥堵