阿里云安全DDoS监控中心数据显示，利用Memcached 进行DDoS攻击的趋势快速升温。今天， 阿里云已经成功监控和防御一起流量高达758.6Gbps的Memcached DDoS反射攻击。

如下是Memcached型反射型DDoS攻击的抓包样本，从UDP协议+源端口11211的特征，可以快速分辨这种攻击类型。

这种攻击，发起攻击者伪造成受害者的IP对互联网上可以被利用的Memcached的服务发起大量请求，Memcached对请求回应。大量的回应报文汇聚到被伪造的IP地址源（也就是受害者），形成反射型分布式拒绝服务攻击。

令人担忧的一点是，利用Memcached可以数万倍的放大报文，即返回的报文大小是请求大小的数万倍，攻击者可以利用非常少的带宽即可发起流量巨大的DDoS攻击。而NTP和SSDP反射攻击一般只能放大数十倍到数百倍。Memcached放大反射DDoS攻击因为其放大倍数能产生更大的破坏力。

随着利用Memcached进行DDoS攻击技术的公开，越来越多尝试使用Memcached进行反射的DDoS发生，并且此类型DDoS攻击正快速上升。

近期，黑客已经扫描并收集全球可以被利用的MemcachedIP，并出现大量试探性超大流量Memcached DDoS攻击，下一步Memcached大流量DDoS攻击将成熟化并大量出现，成为黑客新的利器。

当前互联网上的反射点数量及危害

整个互联网可以用于Memcached反射的IP达到数十万，为攻击者提供了海量的军火库。

随着超大流量DDoS发起难度降低，IDC和云服务商需要储备更多的网络带宽用于防御，中小型IDC将很难应对这种超大规模DDoS攻击，只有具备超大带宽和运营商黑洞能力的云服务商才能有力应对。

目前，阿里云已提供Memcached安全配置建议，并在安骑士提供修复引导，帮助云上用户修复Memcached风险。高防IP中已提供UDP反射封禁服务。

（1）  什么是Memcached？

Memcached 是一个高性能的分布式内存对象缓存系统，用于动态Web应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数，从而提高动态、数据库驱动网站的速度。

（2）  Memcached业务场景？

如果网站包含了访问量很大的动态网页，那么数据库的负载将会很高。由于大部分数据库请求都是读操作，大部分读较高的业务系统采用Memcached减少数据库读，实现缓存功能可以显著地减小数据库负载，提升网站性能。

（3）  为什么Memcached会被利用与反射放大DDoS攻击？

- 由于Memcache（版本低于1.5.6）默认监听UDP，天然满足反射DDoS条件

- 很多用户将服务监听在0.0.0.0，且未进行iptables规则配置，这导致可以被任意来源IP请求

- Memcached反射的倍数达到数万倍，非常利于用于放大报文倍数行成超大流量的DDoS攻击

针对如何防范Memcached，阿里云安全专家有两个方面的建议：

首先，如何避免被利用成为Memcached反射端：

建议对运行的Memccached服务进行安全检查和加固，防止被黑客利用发起DDoS攻击造成不必要的带宽流量；

如果您的Memcached版本低于1.5.6，且不需要监听UDP。您可以重新启动Memcached 加入 -U 0启动参数，例如：Memcached -U 0，禁止监听在udp协议上

如果您购买了阿里云云盾安骑士，您可以在安骑士控制台根据引导进行修复。

第二，如何防护Memcached DDoS反射攻击

1. 建议优化业务架构，将业务分散到多个IP上；

   
   

2. 利用Memcached可以相对容易发起超大流量DDoS攻击，防御Memcached攻击需要储备足够的带宽。如果遇到大流量反射攻击，可以采购云清洗服务，并建议采用针对UDP反射进行过滤的云清洗服务。阿里云高防IP已推出UDP封堵服务。

2017年3月份，西南地区某棋牌公司遭受810G DDoS攻击，导致该公司新上线棋牌App无法为用户提供服务，高峰期断服8个小时，直接经济损失10万元以上。在向当地公安机关报案后，因不能提供确凿证据，无法立案。

2017年8月份，北京某线上金融公司遭受 420G DDoS攻击，导致该公司用户无法使用支付网关，引发用户大量卸载应用，对公司正常业务开展造成极大影响。在向当地公安机关报案后，同样因为没有确凿的证据，无法立案。

以上只是庞大的网络黑色产业链中冰山一角，其性质之恶劣，影响之严重，对企业产生的直接经济损失之大，不容小觑，若能够追溯攻击源，予以立案调查，将对于黑产形成足够的威慑力，有效减少攻击产生的损失。在12月15日举办的FIT 2018互联网安全创新大会上，金山云高级安全产品经理梁洋洋从实践出发，详细讲解了云时代DDoS溯源的核心原理和技术实现手段。

金山云高级安全产品经理梁洋洋

发表《云时代DDoS溯源实践与解析》的演讲

DDoS攻击损失巨大 溯源难题亟待解决

当前，伴随着社会信息化的发展，网络安全问题日渐突出，不仅严重阻碍了信息化发展的进程，还进一步影响到整个国家的安全和经济发展，其中最 为常见并造成严重损失的，以DDoS攻击为甚。近一两年来，DDoS攻击一直呈上升趋势，如何做好DDoS的防御是每个企业都必须要考虑的问题。

数据监控机构Neustar发布的2017年第一季全球DDoS攻击研究报告指出，通过对1010个组织的调查发现，在今年一季度遭受过DDoS攻击的组织占比高达84%，其中又有85%遭受到一次以上的攻击。在另一份相关报告中，显示全球有98个国家经历了DDoS攻击，其中针对中国的攻击数量最多，占所有攻击的63.30%。

在DDoS攻击中，娱乐游戏、互联网金融、电商平台等行业已成为DDoS攻击的重灾区。特别是游戏行业，近年来棋牌游戏公司日进斗金，丰厚的利润成为黑客组织眼中的肥肉；同时因为棋牌游戏竞争激烈，一夜之间成立了上千家棋牌游戏公司，激烈的行业竞争更引发了同行间恶意的DDoS攻击。这时，被动防御清洗DDoS攻击已经不能满足各个受害公司的需求，DDoS溯源成为大家关注的焦点。

金山云实现DDoS攻击精准溯源

由于攻击大多来源于僵尸网络以及互联网的肉机，造成溯源时困难重重，企业在被攻击时因为缺乏有力证据，往往只能认栽。面对客户对于DDoS溯源的强烈需求，金山云研发的公有云溯源系统，通过高效的自动化+人工的数据分析，能够有效进行控制端溯源，追踪攻击发起源头，组建攻击证据链。

据了解，金山云已经建立了一整套完整的DDoS防御及溯源流程，当攻击发生时，一方面通过7层攻击数据获取详细的攻击信息，利用CC攻击特征分析对攻击数据进行清洗。另一方面，结合金山云独有的全网蜜罐系统，获取发起攻击的恶意样本，并进行沙盒模拟运行和专家逆向分析，获取真实的C&C Server。依靠金山云自身积累的海量攻击数据，配合专业第三方合作伙伴提供的威胁情报，对控制端进行一系列溯源。最后通过社交关系分析、行业竞争分析等，精准定位攻击嫌疑人，向警方提供攻击证据链。

除了被攻击后的溯源追踪，更重要的是提前做好DDoS攻击防护。针对某棋牌用户受到的DDoS攻击，金山云为其提供了整体的安全解决方案。面对网络黑客变化多端的攻击方式，金山云和客户一起，通过调整BGP弹性加静态网络参数设置，对攻击报文特征进行过滤。金山云高防产品成功防御了针对客户业务的各种网络攻击，包括DDoS攻击和CC攻击，攻击峰值流量高达800G，为客户业务长期保驾护航。

作为中国公有云前三的云计算企业，金山云在安全方面进行了大量投入并已经取得了卓有成效的成绩。全球知名咨询机构IDC近日发布的《IDC MarketScape：中国云服务提供商，2017厂商安全评估》指出，金山云是国内安全等级最高的云服务厂商之一。目前，金山云安全解决方案和DDoS防御及溯源服务已成为大量游戏公司的首选。

究竟什么是DDoS攻击呢？