Memcached服务器被滥用进行大规模DDoS攻击

Memcached服务器发起的DDoS攻击比其原始强度高出51000倍，这可能会导致主要网站和互联网基础设施遭到破坏。

最近几天，Cloudflare、Arbor Networks和中国安全公司奇虎360的安全研究人员注意到，黑客现在正在滥用“Memcached”，以前所未有的51200倍放大他们的DDoS攻击。

Memcached is a popular open-source and easily deployable distributed caching system that allows objects to be stored in memory and has been designed to work with a large number of open connections. Memcached server runs over TCP or UDP port 11211.

Memcached应用程序旨在通过减少数据库压力来加速动态web应用程序，从而帮助管理员提高性能和扩展web应用程序。它被成千上万的网站广泛使用，包括Facebook、Flickr、Twitter、Reddit、YouTube和Github。

配音记忆崩溃通过Cloudflare，该攻击显然滥用了启用UDP的未受保护Memcached服务器，以提供51200倍于其原始强度的DDoS攻击，使其成为迄今为止在野外使用的最显著的放大方法。

DDoS放大攻击是如何工作的？

与黑客从伪造的IP地址发送小请求以获得更大响应的其他放大方法一样，Memcrash放大攻击也通过使用与受害者IP匹配的伪造IP地址向端口11211上的目标服务器（易受攻击的UDP服务器）发送伪造请求来工作。

根据研究人员的说法，发送到易受攻击服务器的请求中只有几个字节可以触发数万倍的响应。

Cloudflare说：“15字节的请求触发了134KB的响应。这是10000X的放大系数！实际上，我们已经看到15字节的请求导致750kB的响应（这是51200倍的放大）。”。

据研究人员称，大多数被滥用进行DDoS攻击的Memcached服务器托管在OVH、Digital Ocean、Sakura和其他小型托管提供商处。

总的来说，研究人员只看到了5729个与易受攻击的Memcached服务器相关的唯一源IP地址，但他们“预计未来会看到更大的攻击，正如Shodan报告的88000个开放的Memcached服务器。”Cloudflare说。

Cloudflare说：“在峰值时，我们看到260Gbps的入站UDP memcached流量。对于一个新的放大向量来说，这是巨大的。但数字并不真实。这是可能的，因为所有反射的数据包都非常大。”。

Arbor Networks指出，这些攻击中使用的Memcached启动查询也可能指向可滥用的Memcached服务器上的TCP端口11211。
但TCP目前不被认为是高风险的Memcached反射/放大向量，因为TCP查询无法可靠地被欺骗。

我们过去报告的众所周知的DDoS放大攻击向量包括安全性差的域名系统（DNS）解析服务器，它们将卷放大了约50倍，以及网络时间协议（NTP），后者将流量增加了近58倍。

缓解措施：如何修复Memcached服务器？

One of the easiest ways to prevent your Memcached servers from being abused as reflectors is firewalling, blocking or rate-limiting UDP on source port 11211.

由于Memcached在INADDR_ANY上侦听，并在默认情况下启用UDP支持，因此建议管理员在不使用UDP支持的情况下禁用UDP支持。

只要互联网上允许IP欺骗，Memcached reflection可能造成的攻击规模就很难被互联网服务提供商（ISP）抵御。