史上最强Memcached DRDoS攻击，群英智防系统化险为夷。

Posted 2021-05-02 群英资讯

#群英资讯#

  群英智防成功防御高达811Gbps流量的DDoS攻击。

Mar.

05

  日前，群英智防系统成功防御一起高达811Gbps流量的DDoS攻击。

  此次攻击是群英网络在2003年开创以来，遭遇的最大攻击。 就在本周，业界也爆发多起利用Memcached 服务器发动大规模 DRDoS （分布式反射拒绝服务）攻击，目前遭受最高的攻击峰值流量达1.35Tbps。以Memcached攻击为代表的反射放大型攻击的出现，预示着DDoS攻击开始从“G” 时代进入 “T”时代。

群英网络—攻击流量峰值图

  根据群英监控平台的智能监测，此次UDP Flood攻击的源端口相对固定，端口号为11211，特征明显，判断为近期频发的Memcached攻击。

 DDoS攻击核武器如何炼成的？

  反射放大型攻击本质上是利用如UDP、IMCP等协议没有IP认证机制的特点进行IP欺骗，攻击者伪装成受害者IP向公网上基于此类协议服务的设备发起请求，最终使得公网大量设备的大量回复报文发往受害者IP而造成拒绝服务，而且设备回复的次数和报文大小往往是请求报文的数倍甚至数万倍。因此便形成了反射和放大，以极少的攻击资源通过反射和放大就能带来巨大的DDoS攻击效果。

　Memcached为何会成为攻击者的“帮凶”？

  Memcached是一个开源免费的分布式内存缓存系统，适用于需要维护大量开放连接的应用系统。它通过在内存中缓存数据和对象来减少读取数据库的次数，从而提高了网站访问的速度。

  较低版本Memcached默认开启UDP协议，进而攻击者可以利用其发起放大攻击。

　　Memcached应用广泛 

　Memcache是目前国际流行的网页缓存系统，用户发起很小请求，服务端会响应很大的报文。

  根据攻击者构造恶意请求的能力不同，响应报文的放大系数也不尽相同，目前业内已知的放大系数可高达5万倍。

  放大系数如此巨大已经令人胆寒，而就公开数据可知目前活跃在互联网上对外开放的Memcache服务器数量超过9.3万，其中中国境内有超过2万。当前这种攻击方式还处在被黑客利用的初期阶段，攻击量级已可轻松达到数百G，若其发展为武器化并结合现有僵尸网络进一步放大攻击流量，形成超过T级的超大规模DDoS攻击也不费吹灰之力。

群英网络的应对建议

对于Memcached使用者：

1.目前Memcached官方已经发布补丁,使用者可以尽快更新到最新版本，避免自己的Memcached服务被黑客利用作为攻击反射工具。

2.如果您的Memcached版本低于1.5.6，且不需要监听UDP。

对于非Memcached使用者：

1. 您可以禁用Memcached服务UDP端口，具体方法为：Memcached启动时，添加“-U 0”参数可完全禁用UDP（默认情况下，Memcached会侦听INADDR_ANY，并默认启用UDP）。更多Memcached服务安全加固文档：

https://github.com/memcached/memcached/wiki/ConfiguringServer#udp

2. 您可以设置安全组，禁止Memcached服务端口开放在互联网。

对于网络层防御：

  如何防护您的业务受到Memcached DRDoS攻击：

① 建议优化您的业务部署架构，将业务负载分担到多个IP；

② 群英网络已第一时间在智防系统部署针对源端口为UDP 11211的检测防护策略，可以对Memcached DRDoS攻击进行有效防御，保障群英网络平台和用户的业务稳定性；

③ 利用Memcached DRDoS攻击黑客可以发起超大流量DDoS攻击，防御Memcached反射攻击需要储备足够的带宽。如果遇到超大流量反射攻击，您可以采用群英网络DDoS智防系统。

  群英网络安全团队会持续跟踪威胁态势，全力积极保障用户的安全。

关注#群英资讯#

点击“阅读原文”，可跳转群英官网首页。