什么是 Memcached DDoS 攻击？

近年来，我们发现分布式拒绝服务 (DDoS) 攻击的数量和复杂程度呈上升趋势。攻击者用来放大攻击的一种手段是利用 Memcached 服务器中的漏洞。在本文中，我们将阐述 Memcached DDoS 攻击的工作原理、为何这类攻击如此有效以及您可以采取哪些措施来抵御这类攻击。

Memcached 是一种高性能、开源、分布式内存和数据库缓存系统。键值通常用于通过在内存中缓存频繁访问的数据来加快动态网站和 Web 应用程序的响应速度。Memcached 被 Facebook、Twitter 和 YouTube 等公司广泛使用。Memcached 还支持 UDP，是 攻击媒介的主要促成因素。

分布式拒绝服务 (DDoS) 攻击是一种网络攻击，在这种攻击下，大量遭到入侵的设备（称为僵尸网络）会向目标网站或服务器发送大量流量。黑客利用这种让目标不堪重负的海量流量，使合法用户无法访问目标或无法使用身份验证等功能。

Memcached 攻击是一种放大攻击，攻击者向易受攻击的 Memcached 服务器发送 HTTP GET 请求。而易受攻击的服务器则会向具有高放大系数的预期目标发送 UDP 数据包。网络安全专家估计，某些 Memcached 攻击的放大率可以达到要求其返回大量 UDP 数据的初始“GET”请求的 51,000 倍。该请求旨在假冒源 IP 地址，使其看起来像是来自受害者的 IP 地址。Memcached 服务器响应后，会将数据发送到受害者的 IP 地址，从而放大流量并使受害者的服务器不堪重负。

以下是 Memcached DDoS 攻击的实施步骤：

1. 攻击者扫描互联网以查找易受攻击的 Memcached 服务器。
2. 攻击者向存在漏洞的 Memcached 服务器发送一个小的 HTTP GET 请求，要求服务器返回大量 UDP Memcached 攻击载荷数据。该请求旨在假冒源 IP 地址，使其看起来像是来自受害者的 IP 地址。
3. Memcached 服务器通过向受害者的 IP 地址发送大量数据来响应该请求。
4. 数据中心的受害者服务器会因恶意反射攻击流量而不堪重负，从而导致合法用户无法访问服务器。

Memcached DDoS 攻击之所以有效，是因为它可以将攻击载荷流量放大达 50,000 倍之多。这意味着一个小请求就可能会导致海量流量被发送到受害者的服务器或数据中心。此外，Memcached 服务器往往会连接到高速网络，这意味着可以非常快速地发送流量，因此更难防御。另一个常见的原因是攻击者无需维护自己的基础架构即可进行 DDoS 攻击。攻击者可以利用开放的互联网资源进行 IP 欺骗、UDP 端口攻击和其他端点攻击。Akamai 记录的大规模 DDoS 攻击包括来自 Memcached 协议超过 1 Tbps 的攻击流量。

以下是可以用来保护您自己免受 Memcached DDoS 攻击的一些方案：

• 禁用 UDP：Memcached 服务器默认使用 UDP 协议，该协议可轻松被仿冒。通过禁用 UDP 并仅允许 TCP，您可以防止仿冒请求到达您的 Memcached 服务器。
• 防火墙：此外，您还可以使用防火墙来阻止从已知恶意 IP 地址传入到您的 Memcached 服务器的流量。
• 速率限制：另一种选择是对传入流量实施速率限制，以防止 Memcached 服务器的流量激增。
• 更新 Memcached：确保您运行的是含有安全修补程序的最新版本 Memcached。
• 直接针对 Memcached DDoS 攻击：利用云 DDoS 防护来应对此类攻击。鉴于开放 Memcached 服务器的高放大系数和数量众多，在数据中心实施本地抵御措施可能会导致容量问题。