四两拨千斤式的攻击！如何应对Memcache服务器漏洞所带来的DDoS攻击？

本文由  网易云发布。

近日，媒体曝光Memcache服务器一个漏洞，犯罪分子可利用Memcache服务器通过非常少的计算资源发动超大规模的DDoS攻击。该漏洞是Memcache开发人员对UDP协议支持的方式不安全导致的，黑客能通过它实现“反射型DDoS攻击”。

什么是反射型DDoS攻击，犯罪分子是如何利用UDP协议进行攻击的？我们应该采取什么方式去减少它所带来的危害？网易云首席安全架构师沈明星对此进行了解读。

“四两拨千斤”的攻击方式

沈明星称，反射型DDoS攻击是一种新的变种。攻击者并不直接攻击目标服务IP，而是利用互联网的某些特殊服务开放的服务器，通过伪造被攻击者的IP地址、向有开放服务的服务器发送构造的请求报文，该服务器会将数倍于请求报文的回复数据发送到被攻击IP，从而对后者间接形成DDOS攻击。

图解：攻击者（Attacker，实际情况中更多的会利用傀儡机进行攻击）不直接把攻击包发给受害者，而是冒充受害者给放大器（Amplifiers）发包，然后通过放大器再反射给受害者

回到Memcache服务器上则是，犯罪分子会向端口11211上的Memcache服务器发送小字节请求。由于UDP协议并未正确执行，因此Memcache服务器并未以类似或更小的包予以响应，而是 有时候比原始请求大数千倍的包予以响应。由于UDP协议即包的原始IP地址能轻易遭欺骗，也就是说攻击者能诱骗Memcache服务器将过大规模的响应包发送给另外一个IP地址，即DDoS攻击的受害者的IP地址。

那为什么攻击者能利用了网络协议的缺陷或者漏洞进行IP欺骗？沈明星称，这主要是因为很多协议（例如ICMP、UDP等）对源IP不进行认证。

为了达到更好的攻击效果，黑客还会选择具有放大效果的协议服务进行攻击，“攻击非常容易就能达到四两拨千斤的效果。”沈明星担忧地说。

我们任何一个对外开放的业务都可能是潜在的受害者 建议停止使用Memcache的UDP端口

根据监测数据显示，利用Memcache这个漏洞进行DDoS攻击的事件明显增多，存在较大的风险。沈明星说：“我们任何一个对外开放的业务都可能是潜在的受害者。”

那应该采取什么方式去减少Memcache漏洞所带来的危害？这位攻防经验十分丰富的首席安全架构师表示，对于Memcache的用户，为了避免成为攻击者的帮凶，可以使用“--listen 127.0.0.1”只在本地侦听UDP端口，或者索性使用“ -U 0 ”关闭UDP端口。除此之外，也可以使用防火墙关闭对11211端口的访问。

对于开发而言，建议停止使用Memcache的UDP端口。

对于易受攻击的用户，建议对自己的业务进行加固。另外，由于UDP反射使用大带宽进行堵塞的这一特征，需要用户采购超大的带宽才能进行防御。一般用户如果无力采购超大带宽，建议购买DDoS高防服务的方式进行防御。

网易云易盾DDoS高防第一时间响应时加入的监测特征

Memcache服务器漏洞披露后，网易云易盾DDoS高防第一时间进行了响应。即时推送相关消息给用户进行提醒，并对DDoS检测特征库进行了更新，加强针对此次事件的跟踪和检测。同时，运营和专家团队也7*24小时随时待命应对可能的升级攻击。

沈明星指出，网易云易盾DDoS高防使用了网易自研的流量清洗技术，拥有网易二十年的攻防对抗积累经验，并经过多次大型事件检验，应对此次攻击事件完全游刃有余，所有网易云易盾用户均可放心。

原文地址：http://mp.weixin.qq.com/s/YuMIrmDSDiIA4Y3acHQ7SQ

了解 网易云 ：
网易云官网：https://www.163yun.com/
新用户大礼包：https://www.163yun.com/gift
网易云社区：https://sq.163yun.com/