近日，一場流量規模史無前例的DDoS攻擊爆發，如山洪決堤般迅速擊潰全球多個云服務器，讓眾人對其殺傷力膽寒不已。360信息安全部0kee Team在本周監測到利用Memcache的超大規模DDoS攻擊事件后，面向全球率先預警，本次攻擊最高流量接近1.4T，未來趨勢或將愈加嚴峻。

　　洪水猛獸——近1.4T的巨大流量攻擊！

　　許多業內人士不禁想起此前360安全團隊的“預言”：DDoS攻擊開始從 G時代進入 T時代，基于Memcache服務器放大倍數高、數量多的特點，一旦被用作DDoS攻擊，某些小型攻擊團隊也可能因此獲得原先沒有的大流量攻擊能力。

　　據悉，早在2017年6月左右，360信息安全部0kee Team首先發現Memcache DRDoS，并在 PoC 2017會議上做了公開報告，詳細介紹了其攻擊原理和潛在危害，也就是預言Memcache DRDoS未來將越來越多的被利用，出現超高流量的攻擊事件。而此次攻擊事件，到目前為止，已知的最高流量已經近1.4T，如同洪水猛獸，正在吞噬著無數服務器。

　　極盡夸張——5.12萬倍的超高放大系數！

　　此次核彈級的DDoS攻擊，正是網絡犯罪分子利用Memcache作為DRDoS放大器進行放大的攻擊事件。根據360安全團隊介紹，攻擊者首先向Memcache服務器發送小字節請求，并要求Memcache服務器將作出回應的數據包直接發給指定IP(即受害者)。

　　目前，該類型的DDoS攻擊放大倍數可達到5.12萬倍，且Memcache服務器數量較多，在2017年11月時，估算全球約有六萬臺服務器可以被利用，并且這些服務器往往擁有較高的帶寬資源。

　　Memcache服務器接收到請求后，由于 UDP協議并未正確執行，產生了數萬倍大小的回應，并將這一巨大的回應數據包發送給了受害者，導致受害者電腦受到高流量攻擊迅速癱瘓。

　　如果說一般的DDoS攻擊是商鋪中擠滿了熊孩子，令其無法正常營業，那么Memcache DRDoS則是由攻擊者釋放了成千上萬個熊孩子去了Memcache服務器，經過Memcache服務器的加工，熊孩子進化成了破壞力極大的綠巨人進入商鋪，導致商鋪運行迅速崩潰。

　　恐慌蔓延——DDoS攻擊事件正呈爆發式增長！

　　擁有上百萬的開發者用戶，被坊間稱為程序員的“另類”社交網絡、全球最大黑客聚集地的Github，也未能逃脫Memcache DRDoS的魔掌。3月1日凌晨，GitHub遭遇了有史以來最嚴重的DDoS網絡攻擊，峰值流量達到了前所未有的1.35Tbps，Memcache DRDoS向這個擁有眾多大牛的知名代碼托管網站狠狠秀了一次傷害。

　　根據360安全團隊本周監測情況顯示，本次利用Memcache放大的DDoS攻擊事件呈現爆發式增長趨勢，攻擊頻率從每天不足50件增加到每天300至400件，可能有更大的攻擊案例并未被公開報道，未來或將出現更多DDoS攻擊情況。

　　面對“核彈級”攻擊應該做些什么？

　　目前，該類型的DDoS攻擊放大倍數可達到5.12萬倍，且已知的最高流量近1.4T，流量規模還在不斷擴大。360安全團隊分析指出，由于Memcache服務器的總數量是有限的，因此這場威脅力極大的攻擊事件還是有可控方法的。

　　首先，建議Memcache的用戶將服務放置于可信域內，有外網時不要監聽 0.0.0.0，有特殊需求可以設置acl或者添加安全組;為預防機器器掃描和ssrf等攻擊，修改Memcache默認監聽端口;升級到最新版本的Memcache，并且使用SASL設置密碼來進行權限控制。

　　對于網絡層防御，目前已有包括NTT在內的多個國外ISP已經對UDP11211進行限速;同時，安全專家表示，互聯網服務提供商應當禁止在網絡上執行IP欺騙;此外，安全專家也建議ISP應允許用戶使用 BGP flowspec限制入站UDP11211的流量，以減輕大型DRDoS攻擊時的擁堵。

　　對于如此爆發式增長的“核彈級”DDoS攻擊，未來發展趨勢尚不明朗， 360安全團隊將持續監控本次攻擊事件，并及時做出響應措施。