2018年3月5日——過去的一周，memcached反射攻擊(memcached reflection attacks)掀起了一場DDoS攻擊風暴。各行各業已受到多次攻擊，其中針對Akamai客戶的攻擊就達到了破紀錄的1.3 Tbps。Akamai觀察到，本次勒索攻擊使用的是Memcached payload。勒索和DDoS

　　對DDoS世界來說，勒索并不陌生，而攻擊者利用它的方式一直都很有意思。諸如DD4BC的早期詐騙者會發送惡意電子郵件，其中含有攻擊和支付信息、日期和截止日期，并伴隨小型攻擊，同時還會威脅稱若受害者不合作，他們將發出更大規模的攻擊和索要更高的金額，逼迫受害者就范。隨后，一群Copycat(模仿者)和采用大范圍盲目撒網方法的團體蜂擁而上，覬覦有人會上鉤來防范那些根本不存在的攻擊。跟隨者通常不改變付款或其它細節，他們只是把同樣的威脅電子郵件發送給幾個大企業。雖然那些郵件都是空頭威脅，但他們依然希望能夠利用企業的恐懼心理，快速騙得真金白銀。勒索和Memcached

　　Memcached已成為DDoS世界中的新成員和攻擊者的新寵，頻頻對各行各業發起各種規模的攻擊。與威脅最大的攻擊一樣，攻擊者不需要太久就能找到方法將威脅轉化為商業機會。

　　圖一、帶有支付請求信息的Memcached DDoS數據包這些攻擊payload是在針對Akamai Prolexic Routed平臺上多個客戶的實時攻擊期間捕獲的。如果仔細觀察，可以發現埋藏在攻擊流中的顯然就是勒索企圖。攻擊者堅持要求受害者向郵件中明確提供的錢包地址支付50個(16,000美元)Monero(XMR)。這似乎與勒索電子郵件中使用的類似策略一致。他們全面撒網，目的就是希望有受害人上當支付贖金。攻擊方式及原因

　　在發動Memcached攻擊的情況下，攻擊者可以將payload拖放到他們計劃反射的Memcached服務器上。在攻擊者發送的信息中，大部分是毫無意義的垃圾信息，但是我們也可以看到，攻擊者其實已經將贖金金額和錢包地址加載了進去，希望絕望的受害者乖乖交錢了事。不要支付贖金，請購買更多的帶寬

　　利用這種技術的攻擊者/團體，會使用相同的攻擊技術、相同的金額和錢包地址來勒索多個行業的多名受害者。目前，尚無跡象表明他們正在積極跟蹤目標對象對于攻擊的反應，也沒有聯系人信息以及關于付款通知的詳細說明。我們甚至懷疑，如果受害者將所需金額存入勒索者指定的錢包地址，后者甚至有可能都不知道到底是哪個受害者付的款，更不用說他們真的會停止攻擊。即使他們能夠確定是誰付的款，我們也不認為他們會停止攻擊受害者，因為根本就不存在攻擊。背景

　　在此次GitHub攻擊事件中，Akamai利用Prolexic的通用DDoS防御基礎架構進行了有效防御，最近還針對源自Memcached服務器的一類DDoS攻擊實施了特定的防御措施。Akamai的Prolexic可以全面防御各類DDoS攻擊和高帶寬、連續性的Web攻擊，保護數據中心的基礎設施免受攻擊，在DDoS攻擊到達您的應用程序和基礎架構之前在云端阻止惡意流量。