Memcached DRDoS攻击成“新宠”，百度安全深度解读新趋势

基于Memcached服务的反射攻击，由于其 5万倍的反射比例，从一开始出现就成为DDoS攻击界的“新宠”。随着Memcached反射攻击方式被黑客了解和掌握，利用Memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。2018年2月28日，知名代码托管网站GitHub遭受了Memcached DRDoS攻击，最大峰值流量达到了惊人的 1.35T，Memcached DRDoS攻击迅速引起安全厂商重视。近期，针对其最新动态百度安全发布了 Memcached DRDoS攻击趋势报告。

Memcached DRDoS攻击数量逐渐增多，宿迁地区成重灾区
Memcached 反射攻击利用了在互联网上暴露的大批量Memcached 服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向 Memcached 服务器 IP 地址的默认端口11211 发送伪造受害者 IP 地址的特定指令 UDP 数据包，使Memcached 服务器向受害者 IP 地址返回比请求数据包大的数据，从而进行反射攻击。百度安全通过监测发现，从2018年2月25号开始，Memcached DRDoS攻击数量逐渐增多，3月初，Memcached DRDoS攻击只占总体攻击的5%，三月中旬以后，逐渐超过10%，现在稳定在10%-20%之间波动，最近一周增长到30%。

通过对采样的反射源产生的攻击包进行聚类汇总发现，中国占比最高，美国，俄罗斯紧随其后，国内分布的状况则是杭州的反射源产生的攻击包最多。抽样分析反射源使用的Memcached版本发现1.4.15使用占比最多，通过对攻击者使用Memcached DRDoS的攻击目标进行分析发现宿迁地区遭受的攻击最多。

放大倍数可达十几万倍，危害程度远高于其他反射攻击类型
从放大倍数来看，Memcached反射攻击的危害程度远远高于其他反射攻击类型。CF在2月份发布文章称，检测到发送15字节的包，收到750k字节的包，从而计算出反射倍数是51200倍。CF提出的5万倍仅仅是按响应数据与请求数据的比例计算得到的，但DDoS攻击消耗的是网络带宽资源，所以真实的放大倍数必须考虑数据包的实际网络数据流长度。按照CF检测到的数据重新计算，750字节产生的网络流量达到804205.7，实际反射倍数则是9573.9 倍。但不管怎么样的差距，都不会影响Memcached反射攻击成为DRDoS的TOP 1。当然事实上，即使如何严谨的计算放大倍数，此类攻击还是有进一步放大的案例。
Memcached 的VALUE默认设置的最大长度是1Mbyte。单个get a请求后可实现的反射倍数达到13071.5倍。虽然直接调大VALUE的值放大倍数还不足2万倍，但通过一些攻击技巧还是能实现反射倍数达到十几万倍，百度安全近期就捕获到使用了一种技巧实现了这样的放大效果的攻击事件。攻击者在一个请求中，使用了多次查询，通过在一个UDP包中执行多条get指令，Memcached服务器返回大量的多条数据包，由于UDP包本身的长度要占用66字节，通过这样的节省UDP包发送条数的手法，达到比之前单条发送要放大更多倍的效果，实际捕获的攻击实例中反射倍数为26471.4倍。理论上这不是最高的放大倍数，当GET指令的个数增加时，反射比例还会增大，加上优化payload，最终能实现十几万倍的反射效果。实际的环境中，反射比例要小的多，一方面，是由于Memcached服务器的性能决定，另一方面UDP存在一定比例的丢包，甚至还有空响应的。

加固Memcached系统防护，遏制反射攻击危害
面对规模如此之大、危害如此之高的Memcached反射攻击，百度安全专家向Memcached系统用户提出了几点防护建议。
1、在Memcached服务器或者其上联的网络设备上配置防火墙策略，仅允许授权的业务IP地址访问Memcached服务器，拦截非法的访问。
2、更改Memcached服务的监听端口为11211之外的其他大端口，避免针对默认端口的恶意利用。
3、除非特殊必要，不开启Memcached UDP服务，最新版本的Memcached已经默认不开启UDP服务。
4、升级到最新的Memcached软件版本，配置启用SASL认证等权限控制策略（在编译安装Memcached程序时添加-enable-sasl选项，并且在启动Memcached服务程序时添加-S参数，启用SASL认证机制以提升Memcached的安全性。
Memcached反射攻击可高达十几万倍的反射能力，不仅对攻击目标造成极大的损害，也会大大增加反射源的负载而影响自有业务运行。黑客的攻击无时不在，服务提供者、IDC和云平台要时刻提高安全意识，同时还需要在服务端做好防御准备，比如增加 ACL 过滤规则和 DDoS 清洗服务。此外，百度智云盾通过设置开放服务白名单的方式对所有入向流量进行校验，不符合白名单的开放服务地址来源流量都被黑洞，有效的遏制了反射攻击的危害。未来，智云盾将持续跟踪Memcached反射攻击威胁态势，完善安全威胁监测和防御能力，为网站安全保驾护航。