從一枚子彈變成一顆核彈，從一滴水變成汪洋大海，這種情況是否只存在于大家的想象之中?本周，360信息安全部0kee Team監(jiān)測到一種利用Memcache的超大規(guī)模DDoS攻擊事件，攻擊者只需向Memcache服務器發(fā)送小字節(jié)請求，就可誘騙服務器將數(shù)萬倍的響應數(shù)據(jù)包發(fā)送給被攻擊者，形成DDoS攻擊。

　　360安全團隊率先發(fā)出面向全球的重要預警，目前全球已有多個云服務器遭到攻擊，已知的最高流量接近1.4T，進入集中爆發(fā)期，未來還可能持續(xù)出現(xiàn)更多該類型的DDoS攻擊事件。

　　反射式DDoS攻擊：“熊孩子”秒變“綠巨人”

　　據(jù)悉，這種利用Memcache服務器的反射型DDoS攻擊，早在2017年6月前后由360 0kee Team首先發(fā)現(xiàn)，并于同年11月 PoC 2017會議報告上，詳細介紹了其攻擊原理和潛在危害。

　　所謂DDoS攻擊是通過大量合法的請求占用大量網絡資源，最終致使網絡癱瘓。就好比在一個正常營業(yè)的商鋪，突然有一群“熊孩子”蜂擁而至，把整個店面占滿，想買東西的顧客擠進不來，里面的商品也賣不出去，這時，商鋪就是受到了來自“熊孩子”的DDoS攻擊。

　　而Memcache作為分布式高速緩存系統(tǒng)，可幫助大型或者需要頻繁訪問數(shù)據(jù)庫的網站來提升訪問速度。此次核彈級的DDoS攻擊，正是網絡犯罪分子利用Memcache作為DRDoS放大器進行放大的攻擊事件。

　　360安全團隊介紹，近日發(fā)現(xiàn)的攻擊事件中，攻擊者首先向Memcache服務器發(fā)送小字節(jié)請求，并要求Memcache服務器將作出回應的數(shù)據(jù)包發(fā)給指定IP(即受害者);Memcache服務器接收到請求后，由于 UDP協(xié)議并未正確執(zhí)行，產生了數(shù)萬倍大小的回應，并將這一巨大的回應數(shù)據(jù)包發(fā)送給受害者;此時受害者就遭遇了“人在家中坐，禍從天上來”的局面。也就是說攻擊者能誘騙 Memcache服務器將過大規(guī)模的響應包發(fā)送給受害者。

　　這樣看來，本次攻擊事件還不完全是單純的“熊孩子”式的攻擊，而像是攻擊者釋放出了成千上萬的“熊孩子”，并讓他們先去了 Memcache服務器。在這里，他們突然被放大無數(shù)倍，變成了成千上萬個“綠巨人”，然后再浩浩蕩蕩奔向商鋪(受害者)。這時，受攻擊的商鋪別說正常營業(yè)了，儼然已經崩潰、癱瘓。

　　這種間接 DDoS攻擊就是“反射式DDoS攻擊”，而其中服務器響應數(shù)據(jù)包被放大的次數(shù)則被稱為DDoS攻擊的“放大系數(shù)”。360安全團隊指出，這次攻擊具有放大倍數(shù)高、影響服務器范圍廣兩大特點。

　　放大系數(shù)超5萬倍堪稱“核彈級攻擊”

　　目前，該類型的DDoS攻擊放大倍數(shù)可達到5.12萬倍，且Memcache服務器數(shù)量較多，在2017年11月時，估算全球約有六萬臺服務器可以被利用，并且這些服務器往往擁有較高的帶寬資源。

　　最近一周以來，利用Memcache放大的DDoS攻擊事件爆發(fā)式增長，攻擊頻率從每天不足50件增加到每天300至400件，360安全團隊表示，可能有更大的攻擊案例并未被公開報道。

　　針對本次史上罕見的DDoS攻擊事件，360安全團隊在發(fā)布預警的同時，對Memcache使用者給出了以下三點建議：

　　1.Memcache的用戶建議將服務放置于可信域內，有外網時不要監(jiān)聽 0.0.0.0，有特殊需求可以設置acl或者添加安全組。

　　2.為預防機器 掃描和ssrf等攻擊，修改memcache默認監(jiān)聽端口。

　　3.升級到最新版本的memcache，并且使用SASL設置密碼來進行權限控制。

　　此外，360安全團隊還發(fā)布了本次DDoS攻擊的詳細技術報告，并表示接下來的一段時間內，或將爆發(fā)更多利用Memcached進行DRDoS的事件，如果本次攻擊效果被其他DDoS團隊所效仿，將帶來難以預計的嚴重后果，對此，360安全團隊將持續(xù)監(jiān)控本次攻擊事件，并及時做出響應措施。