条形码固定资产管理软件 科普Memcache UDP 反射放大攻击为什么堪称灾祸级攻击？

<条形码固定资产管理软件 广告位：内页左1 --> <条形码固定资产管理软件 从一枚子弹变成一颗核弹，从一滴水变成汪洋大海河北人事考试网首页，这种情况是否只存在于大家的想象之中? -->

　　从一枚子弹变成一颗核弹，从一滴水变成汪洋大海，这种情况是否只存在于大家的想象之中?本周，360信息安悉数0kee Team监测到一种行使Memcache的超大规模DDoS攻击事件，攻击者只需向Memcache服务器发送小字节请求，就可诱骗服务器将数万倍的相应数据包发送给被攻击者，形成DDoS攻击。

　　360安全团队率先发出面向全球的紧张预警，目前全球已有多个云服务器遭到攻击，已知的最高流量接近1.4T，进入集中爆发期，将来还可能持续出现更多该类型的DDoS攻击事件。

　　反射式DDoS攻击：“熊孩子”秒变“绿巨人”

　　据悉，这种行使Memcache服务器的反射型DDoS攻击，早在2017年6月前后由360 0kee Team首先发现，并于同年11月 PoC 2017 会议报告上，细致介绍了其攻击原理和潜在危害。

　　所谓DDoS攻击是通过大量正当的请求占用大量网络资源，最终致使网络瘫痪。就好比在一个正常业务的商铺，忽然有一群“熊孩子”蜂拥而至自动化生产线，把整个店面占满，想买东西的顾客挤进不来，里面的商品也卖不出去，这时，商铺就是受到了来自“熊孩子”的DDoS攻击。

　　而Memcache作为分布式高速缓存系统，可帮助大型或者必要频繁访问数据库的网站来提拔访问速度。此次核弹级的DDoS攻击，正是网络犯罪分子行使Memcache作为DRDoS放大器进行放大的攻击事件。

　　360安全团队介绍，近日发现的攻击事件中，攻击者首先向Memcache服务器发送小字节请求，并要求Memcache服务器将作出回应的数据包发给指定IP(即受害者);Memcache服务器接收到请求后，因为 UDP协议并未精确实行，产生了数万倍大小的回应，并将这一伟大的回应数据包发送给受害者;此时受害者就遭遇了“人在家中坐，祸从天上来”的局面。也就是说攻击者能诱骗 Memcache服务器将过大规模的相应包发送给受害者。

　　如许看来，本次攻击事件还不完全是单纯的“熊孩子”式的攻击，而像是攻击者释放出了成千上万的“熊孩子”，并让他们先去了 Memcache服务器。在这里，他们忽然被放大无数倍，变成了成千上万个“绿巨人”，然后再浩浩荡荡奔向商铺(受害者)。这时，受攻击的商铺别说正常业务了，俨然已经崩溃、瘫痪。

　　

 

　　这种间接 DDoS 攻击就是“反射式DDoS攻击”，而其中服务器相应数据包被放大的次数则被称为DDoS攻击的“放大系数”。360安全团队指出，这次攻击具有放大倍数高、影响服务器范围广两大特点。

　　放大系数超5万倍 堪称“核弹级攻击”

　　目前，该类型的DDoS攻击放大倍数可达到5.12万倍，且Memcache服务器数量较多，在2017年11月时，估算全球约有六万台服务器可以被行使，并且这些服务器每每拥有较高的带宽资源。

　　最近一周以来，行使Memcache放大的DDoS攻击事件爆发式增加，攻击频率从天天不足50件增长到天天300至400件，360安全团队透露表现，可能有更大的攻击案例并未被公开报道。

　　

 

　　针对本次史上罕见的DDoS攻击事件，360安全团队在发布预警的同时北京网站建设，对Memcache使用者给出了以下三点建议：

　　1.Memcache的用户建议将服务放置于可信域内，有外网时不要监听 0.0.0.0，有特别需求可以设置acl或者添加安全组。

　　2.为预防机器器扫描和ssrf等攻击，修改memcache默认监听端口。

　　3.升级到最新版本的memcache，并且使用SASL设置密码来进行权限控制。

　　此外，360安全团队还发布了本次DDoS攻击的细致技术报告，并透露表现接下来的一段时间内，或将爆发更多行使Memcached进行DRDoS的事件，假如本次攻击结果被其他DDoS团队所效仿，将带来难以预计的紧张后果，对此，360安全团队将持续监控本次攻击事件，并及时做出相应措施。

谨慎声明：中国IT研究中间网站刊登/转载此文出于传递更多信息之目的 ，并不意味着附和其观点或论证其描述。中国IT研究中间不负责其真实性 。