[預警]利用 Memcache 作爲 DRDoS 反射放大器進(jìn)行 DDoS 攻擊

近日，我們看到一種(zhǒng)利用Memcache作爲DRDoS放大器進(jìn)行放大的DDoS攻擊，其利用memcached協議，發(fā)送大量帶有被(bèi)害者IP地址的UDP數據包給放大器主機，然後(hòu)放大器主機對(duì)僞造的IP地址源做出大量回應，形成(chéng)分布式拒絕服務攻擊，從而形成(chéng)DRDoS反射。

事(shì)件影響範圍：

在外開(kāi)放的memcache存儲系統

這(zhè)種(zhǒng)攻擊，發(fā)起(qǐ)攻擊者僞造成(chéng)受害者的IP對(duì)互聯網上可以被(bèi)利用的Memcached的服務發(fā)起(qǐ)大量請求，Memcached對(duì)請求回應。大量的回應報文彙聚到被(bèi)僞造的IP地址源（也就是受害者），形成(chéng)反射型分布式拒絕服務攻擊。

令人擔憂的一點是，利用Memcached可以數萬倍的放大報文，即返回的報文大小是請求大小的數萬倍，攻擊者可以利用非常少的帶寬即可發(fā)起(qǐ)流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般隻能(néng)放大數十倍到數百倍。Memcached放大反射DDoS攻擊因爲其放大倍數能(néng)産生更大的破壞力。

事(shì)件抓包樣(yàng)本：

如下是Memcached型反射型DDoS攻擊的抓包樣(yàng)本，從UDP協議+源端口11211的特征，可以快速分辨這(zhè)種(zhǒng)攻擊類型。

緩解措施

1、對(duì)于Memcache使用者
memcache的用戶建議將(jiāng)服務放置于可信域内，有外網時不要監聽 0.0.0.0，有特殊需求可以設置acl或者添加安全組。
爲預防機器器掃描和ssrf等攻擊，修改memcache默認監聽端口。
升級到最新版本的memcache，并且使用SASL設置密碼來進(jìn)行權限控制。

2、對(duì)于網絡層防禦
多個ISP已經(jīng)對(duì)UDP11211進(jìn)行限速。
打擊攻擊源：互聯網服務提供商應當禁止在網絡上執行IP欺騙。IP欺騙DRDoS的根本原因。具體措施可以參考BCP38。
ISP應允許用戶使用 BGP flowspec 限制入站UDP11211的流量，以減輕大型DRDoS攻擊時的擁堵。