近日，我們看到一種利用Memcache作為DRDoS放大器進行放大的DDoS攻擊，其利用memcached協(xié)議，發(fā)送大量帶有被害者IP地址的UDP數(shù)據(jù)包給放大?主機，然后放大?主機對偽造的IP地址源做出大量回應(yīng)，形成分布式拒絕服務(wù)攻擊，從而形成DRDoS反射。

事件影響范圍：

在外開放的memcache存儲系統(tǒng)

這種攻擊，發(fā)起攻擊者偽造成受害者的IP對互聯(lián)網(wǎng)上可以被利用的Memcached的服務(wù)發(fā)起大量請求，Memcached對請求回應(yīng)。大量的回應(yīng)報文匯聚到被偽造的IP地址源（也就是受害者），形成反射型分布式拒絕服務(wù)攻擊。

令人擔(dān)憂的一點是，利用Memcached可以數(shù)萬倍的放大報文，即返回的報文大小是請求大小的數(shù)萬倍，攻擊者可以利用非常少的帶寬即可發(fā)起流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般只能放大數(shù)十倍到數(shù)百倍。Memcached放大反射DDoS攻擊因為其放大倍數(shù)能產(chǎn)生更大的破壞力。

事件抓包樣本：

如下是Memcached型反射型DDoS攻擊的抓包樣本，從UDP協(xié)議+源端口11211的特征，可以快速分辨這種攻擊類型。

緩解措施

1、對于Memcache使用者
memcache的用戶建議將服務(wù)放置于可信域內(nèi)，有外網(wǎng)時不要監(jiān)聽 0.0.0.0，有特殊需求可以設(shè)置acl或者添加安全組。
為預(yù)防機器?掃描和ssrf等攻擊，修改memcache默認(rèn)監(jiān)聽端口。
升級到最新版本的memcache，并且使用SASL設(shè)置密碼來進行權(quán)限控制。

2、對于網(wǎng)絡(luò)層防御
多個ISP已經(jīng)對UDP11211進行限速。
打擊攻擊源：互聯(lián)網(wǎng)服務(wù)提供商應(yīng)當(dāng)禁止在網(wǎng)絡(luò)上執(zhí)行IP欺騙。IP欺騙DRDoS的根本原因。具體措施可以參考BCP38。
ISP應(yīng)允許用戶使用 BGP flowspec 限制入站UDP11211的流量，以減輕大型DRDoS攻擊時的擁堵。