昨天,Akamai 公司检测到 GitHub 已遭利用 Memcached 服务器漏洞发动的 DDoS 攻击,攻击规模达创记录的 1.35Tbps。GitHub 已发布《2月28日DDoS 事件报告》。
攻击利用 Memcached 服务器漏洞
遭利用的漏洞存在于 Memcached 服务器的 UDP 协议实现中,其放大倍数超过50,000。例如,203字节的 Memcached 请求会导致100兆字节的响应。
攻击者能放大数据包大小并将数据包重定向至受害者的易受攻击端口是 11211。Memcached 服务器在默认配置中暴露了这个端口。
目前可遭这类反射 DDoS 利用的联网 Memcached 服务器数量超过9.3万台,而昨天发生的攻击恰好利用了同等数量的服务器。
虽然攻击规模达到创记录的 1.35 Tbps,但 Akamai 公司指出已缓解整个攻击。该公司认为以后会经常出现类似的 Memcached 攻击。
Memcached DDoS 攻击先例
新证据表明,在2017年末发现 Memcached DDoS 攻击的安全团队是奇虎360的 0Kee Team。
Akamai 警告称,此类攻击的规模不断增大,或许不久之后规模更大。
事实也如此。利用这个 Memcached 漏洞的DDoS 攻击始于上周末。Cloudflare 报告称在周一缓解了首个此类攻击,其规模达到 260 Gbps。
Qrator Labs 当时也曾缓解了另外一起基于 Memcached 漏洞的 DDoS 攻击,其规模是500 Gbps,仅次于目前 Akamai 公司检测到的1.35Tbps。
奇虎360 0Kee Team 在研究论文中预测利用 Memcached 服务器的 DDoS 攻击规模可达约 2 Tbps。
此前的 DDoS 攻击规模记录是 1 Tbps,受害者是2016年秋天遭攻击的法国主机提供商 OVH。它是利用首个 Mirai 物联网恶意软件版本发动的攻击,并且极其难以得到缓解,原因是它包含的数据包类型要比来自随机端口的类型更多。