Tbps DDoS攻击Memcached UDP Reflections创下新纪录

在创纪录的1.35 Tbps Github DDoS攻击之后，预计会有更多的攻击被放大，有人在仅仅四天之后就创造了一个新的记录，1.7 Tbps DDoS攻击。

网络安全和监控公司Arbor Networks声称，其ATLAS global traffic and DDoS threat data system记录了针对其一家未具名美国客户网站的1.7Tbps反射/放大攻击。

与上周对GitHub的DDoS攻击类似，最近一次攻击的巨大带宽被放大了51000倍，使用了互联网上暴露的数千台配置错误的Memcached服务器。

Memcached是一种流行的开源分布式内存缓存系统。上周早些时候，研究人员详细介绍了攻击者如何利用与受害者IP地址匹配的伪造IP地址，向端口11211上的目标Memcached服务器发送伪造请求，从而利用该系统发起DDoS攻击。

发送到易受攻击服务器的几字节请求可以触发针对目标IP地址的数万倍大的响应，从而导致强大的DDoS攻击。
与此同时，研究人员还指出，网络犯罪分子已经开始通过易受攻击的memcached服务器将DDoS攻击武器化，以向受害者勒索钱财。

继上周针对GitHub的1.3 Tbps DDoS攻击之后，Akamai表示其客户一直在收到勒索消息，这些消息与通常的“垃圾填充”攻击有效载荷一起发送，要求他们支付50 XMR（Monero硬币），价值超过15000美元。

Arbor Networks在一篇博客文章中说：“虽然互联网社区正在联合起来，关闭对许多开放的memcached服务器的访问，但开放运行memcached的服务器数量之多，将使这一漏洞成为攻击者将要利用的持久漏洞”。

反射/放大攻击并不新鲜。攻击者以前曾使用反射/放大DDoS攻击技术，利用DNS、NTP、SNMP、SSDP、CLDAP、Chargen和其他协议中的漏洞，试图最大限度地扩大其网络攻击规模。

然而，最新的攻击向量涉及数千个配置错误的MycCurp服务器，其中许多仍然在互联网上暴露，并且可能被利用来对其他目标很快发起潜在的更大规模攻击。因此，预计未来几天会出现更多此类袭击。

为了防止Memcached服务器被滥用为反射器，我们敦促用户安装一个防火墙，该防火墙只允许从本地网络访问Memcached服务器。

管理员还应该考虑避免MeMcCurk使用的端口（例如默认使用的11211端口）的外部通信，以及如果不使用，则阻塞或速率限制UDP或完全禁用UDP支持。