放大倍数超 5 万倍的 Memcached DDoS 反射攻击，怎么破？

背景

最近，利用Memcached服务器进行反射DDoS攻击的事件呈现出明显的上升趋势。DDoS攻击流量首次突破T级，引起了业界的广泛关注。现在，腾讯游戏云将回顾整个事件如下：

追溯2月27日的消息，Cloudflare和Arbor Networks公司发出警告，称恶意攻击者正在滥用Memcached协议发起分布式拒绝服务（DDoS）放大攻击，全球范围内许多服务器（包括Arbor Networks公司）受到了影响。下图显示了监测到的Memcached攻击态势。

仅仅过了一天，就出现了1.35Tbps的攻击流量，刷新了DDoS攻击历史纪录。美国东部时间周三下午，GitHub透露其可能遭受了有史以来最强的DDoS攻击，专家称攻击者采用了放大攻击的新方法——Memcached反射攻击，可能会在未来发生更大规模的分布式拒绝服务（DDoS）攻击。对GitHub平台的第一次峰值流量攻击达到了1.35Tbps，随后又出现了另外一次400Gbps的峰值，这可能也将成为目前记录在案的最强DDoS攻击，此前这一数据为1.1Tbps。据CNCERT3月3日的消息，监测发现Memcached反射攻击在北京时间3月1日凌晨2点30分左右峰值流量高达1.94Tbps。

腾讯云捕获了多起Memcached反射型DDoS攻击。截至3月6日，腾讯云已经捕获到多起利用Memcached发起的反射型DDoS攻击。主要攻击目标包括游戏、门户网站等业务。腾讯云数据监测显示，黑产针对腾讯云业务发起的Memcached反射型攻击从2月21日起进入活跃期，在3月1日达到活跃高峰，随后攻击次数明显减少，到3月5日再次出现攻击高峰。下图为腾讯云捕获到的Memcached反射型DDoS攻击的抓包样本。腾讯云捕获到的Memcached反射源为22511个。Memcached反射源的来源分布情况如下图所示。在腾讯云宙斯盾安全系统的防护下，腾讯云业务在Memcached反射型DDoS攻击中没有受到影响。

那么，什么是Memcached反射攻击？一般而言，我们会根据针对的协议类型和攻击方式的不同，将DDoS分成SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC等各类攻击类型。DDoS攻击的历史可以追溯到上世纪90年代，而反射型DDoS攻击则是DDoS攻击中较巧妙的一种。攻击者并不直接攻击目标服务IP，而是通过伪造被攻击者的IP向开放某些特殊服务的服务器发起请求报文，该服务器会将数倍于请求报文的回复数据发送到那个伪造的IP（即目标服务IP），从而实现隔山打牛，四两拨千斤的效果。而Memcached反射型攻击因为其高达数万倍的放大倍数，更加受到攻击者的青睐。Memcached反射攻击就是攻击者伪造成受害者的IP对互联网上可以被利用的Memcached服务发起大量请求，Memcached对请求回应。大量的回应报文汇聚到被伪造的IP地址源，形成反射型分布式拒绝服务攻击。

为何会造成如此大的威胁？据腾讯云宙斯盾安全团队成员介绍，以往我们面临的DDoS威胁，例如NTP和SSDP反射攻击的放大倍数一般都是30~50之间，而Memcached的放大倍数是以万