近日，一場(chǎng)流量規(guī)模史無前例的DDoS攻擊爆發(fā)，如山洪決堤般迅速擊潰全球多個(gè)云服務(wù)器，讓眾人對(duì)其殺傷力膽寒不已。360信息安全部0kee Team在本周監(jiān)測(cè)到利用Memcache的超大規(guī)模DDoS攻擊事件后，面向全球率先預(yù)警，本次攻擊最高流量接近1.4T，未來趨勢(shì)或?qū)⒂�加�?yán)峻。

　　洪水猛獸——近1.4T的巨大流量攻擊！

　　許多業(yè)內(nèi)人士不禁想起此前360安全團(tuán)隊(duì)的“預(yù)言”：DDoS攻擊開始從 G時(shí)代進(jìn)入 T時(shí)代，基于Memcache服務(wù)器放大倍數(shù)高、數(shù)量多的特點(diǎn)，一旦被用作DDoS攻擊，某些小型攻擊團(tuán)隊(duì)也可能因此獲得原先沒有的大流量攻擊能力。

　　據(jù)悉，早在2017年6月左右，360信息安全部0kee Team首先發(fā)現(xiàn)Memcache DRDoS，并在 PoC 2017會(huì)議上做了公開報(bào)告，詳細(xì)介紹了其攻擊原理和潛在危害，也就是預(yù)言Memcache DRDoS未來將越來越多的被利用，出現(xiàn)超高流量的攻擊事件。而此次攻擊事件，到目前為止，已知的最高流量已經(jīng)近1.4T，如同洪水猛獸，正在吞噬著無數(shù)服務(wù)器。

　　極盡夸張——5.12萬倍的超高放大系數(shù)！

　　此次核彈級(jí)的DDoS攻擊，正是網(wǎng)絡(luò)犯罪分子利用Memcache作為DRDoS放大器進(jìn)行放大的攻擊事件。根據(jù)360安全團(tuán)隊(duì)介紹，攻擊者首先向Memcache服務(wù)器發(fā)送小字節(jié)請(qǐng)求，并要求Memcache服務(wù)器將作出回應(yīng)的數(shù)據(jù)包直接發(fā)給指定IP(即受害者)。

　　目前，該類型的DDoS攻擊放大倍數(shù)可達(dá)到5.12萬倍，且Memcache服務(wù)器數(shù)量較多，在2017年11月時(shí)，估算全球約有六萬臺(tái)服務(wù)器可以被利用，并且這些服務(wù)器往往擁有較高的帶寬資源。

　　Memcache服務(wù)器接收到請(qǐng)求后，由于 UDP協(xié)議并未正確執(zhí)行，產(chǎn)生了數(shù)萬倍大小的回應(yīng)，并將這一巨大的回應(yīng)數(shù)據(jù)包發(fā)送給了受害者，導(dǎo)致受害者電腦受到高流量攻擊迅速癱瘓。

　　如果說一般的DDoS攻擊是商鋪中擠滿了熊孩子，令其無法正常營業(yè)，那么Memcache DRDoS則是由攻擊者釋放了成千上萬個(gè)熊孩子去了Memcache服務(wù)器，經(jīng)過Memcache服務(wù)器的加工，熊孩子進(jìn)化成了破壞力極大的綠巨人進(jìn)入商鋪，導(dǎo)致商鋪運(yùn)行迅速崩潰。

　　恐慌蔓延——DDoS攻擊事件正呈爆發(fā)式增長！

　　擁有上百萬的開發(fā)者用戶，被坊間稱為程序員的“另類”社交網(wǎng)絡(luò)、全球最大黑客聚集地的Github，也未能逃脫Memcache DRDoS的魔掌。3月1日凌晨，GitHub遭遇了有史以來最嚴(yán)重的DDoS網(wǎng)絡(luò)攻擊，峰值流量達(dá)到了前所未有的1.35Tbps，Memcache DRDoS向這個(gè)擁有眾多大牛的知名代碼托管網(wǎng)站狠狠秀了一次傷害。

　　根據(jù)360安全團(tuán)隊(duì)本周監(jiān)測(cè)情況顯示，本次利用Memcache放大的DDoS攻擊事件呈現(xiàn)爆發(fā)式增長趨勢(shì)，攻擊頻率從每天不足50件增加到每天300至400件，可能有更大的攻擊案例并未被公開報(bào)道，未來或?qū)⒊霈F(xiàn)更多DDoS攻擊情況。

　　面對(duì)“核彈級(jí)”攻擊應(yīng)該做些什么？

　　目前，該類型的DDoS攻擊放大倍數(shù)可達(dá)到5.12萬倍，且已知的最高流量近1.4T，流量規(guī)模還在不斷擴(kuò)大。360安全團(tuán)隊(duì)分析指出，由于Memcache服務(wù)器的總數(shù)量是有限的，因此這場(chǎng)威脅力極大的攻擊事件還是有可控方法的。

　　首先，建議Memcache的用戶將服務(wù)放置于可信域內(nèi)，有外網(wǎng)時(shí)不要監(jiān)聽 0.0.0.0，有特殊需求可以設(shè)置acl或者添加安全組;為預(yù)防機(jī)器器掃描和ssrf等攻擊，修改Memcache默認(rèn)監(jiān)聽端口;升級(jí)到最新版本的Memcache，并且使用SASL設(shè)置密碼來進(jìn)行權(quán)限控制。

　　對(duì)于網(wǎng)絡(luò)層防御，目前已有包括NTT在內(nèi)的多個(gè)國外ISP已經(jīng)對(duì)UDP11211進(jìn)行限速;同時(shí)，安全專家表示，互聯(lián)網(wǎng)服務(wù)提供商應(yīng)當(dāng)禁止在網(wǎng)絡(luò)上執(zhí)行IP欺騙;此外，安全專家也建議ISP應(yīng)允許用戶使用 BGP flowspec限制入站UDP11211的流量，以減輕大型DRDoS攻擊時(shí)的擁堵。

　　對(duì)于如此爆發(fā)式增長的“核彈級(jí)”DDoS攻擊，未來發(fā)展趨勢(shì)尚不明朗， 360安全團(tuán)隊(duì)將持續(xù)監(jiān)控本次攻擊事件，并及時(shí)做出響應(yīng)措施。