在過去幾天出現了一種新的分散式阻斷服務（DDoS）放大攻擊，而且它有潛力造成比過去都更嚴重的DDoS攻擊。雖然大多數人想到DDoS所用的網路協定時會想到DNS、UpNP/SDP和NTP，但 mecache所造成的攻擊跟利用這些協定一樣有效。Memcache是一種可以從伺服器快速儲存和檢索資料的協定，而不會造成後端資料庫沈重的負擔。不幸的是，最近它也成為了DDoS攻擊一種有效的放大和反射來源。

Cloudflare和Github在過去幾天成為了這種新DDoS 放大攻擊的第一波受害者。在Github的例子中，來自Akamai的網路遙測資料顯示至少有一波攻擊造成1.35Tbps以上的網路流量送入其伺服器：

圖1：來自 https://githubengineering.com/DDoS-incident-report/

請記住，其中有些流量本身不是攻擊流量，而是正常網路活動（嘗試進行handshake之類），但最終還是造成了巨大的衝擊。根據Akamai SIRT的說法，這次攻擊的規模是2016年9月Mirai攻擊的兩倍。

使用memcached其實很簡單。你發送一個key，它會將與該key相關的資料送回給你。另外一個好處是可以根據需要將多筆查詢放入一個請求中。

圖2：建立一個memcache攻擊

在目前的攻擊中，攻擊者對Memcache服務發出GETS請求，以取得現有key可以得到的所有資料（圖2中的步驟3和4）；但在許多情況下，memcache伺服器並不受保護，並且還允許SET指令（也就是將資料加入memcache伺服器）。惡意份子可以用它來將一個key設定成可允許的最大資料blob，然後對該key執行GETS查詢（圖2中的步驟1-4），來最大化針對受害者的反射攻擊。

雖然memcache可以以TCP（原生）和UDP安裝，但這些攻擊主要出現在UDP端口11211，因為UDP協定比較容易欺騙來源地址，更容易進行反射式DDoS攻擊。

根據Shodan的資料，全球有120,458個（撰寫本文時）memcache伺服器，只有不到1萬台伺服器使用UDP。更有意思的是，其中幾乎有三分之一都被用在攻擊中。 繼續閱讀