安全预警：Memcache服务器可被滥用于发起大规模DDoS攻击

Memcache是一套分布式的高速缓存系统，它最初是由综合型SNS交友网站LiveJournal的创建者美国程序员Brad Fitzpatrick开发的。

目前，Memcache已被许多网站所使用，用以提升网站的访问速度，尤其对于一些大型的或者需要频繁访问数据库的网站来说，其提升访问速度的效果十分显著。

安全公司Cloudflare和Arbor Networks在本周二均发出警告，称Memcache服务器已经遭到网络犯罪分子的滥用，在他们的终端上使用非常少的计算资源发起大规模的分布式拒绝服务（DDoS）攻击。

相关安全专家表示，通过Memcache服务器发起DDoS攻击是可行的，因为Memcache的开发团队已经在他们的产品中实现了对UDP协议的支持。

更糟的是，Memcache服务器还会以默认配置将其UDP端口暴露给外部连接，这意味着任何不在防火墙后面的Memcache服务器现在都可能被滥用于发起DDoS攻击。

Cloudflare表示，它在过去几天内监测到了多起通过暴露的Memcached服务器发起的DDoS攻击。

该公司在技术报告中解释说，攻击者首先会向11211端口上的Memcached服务器发送小字节的请求。由于UDP协议没有能够正确实现，因此Memcache服务器并没有使用类似或更小的数据包进行响应，有时用于响应的数据包甚至会比初始请求大上数千上万倍。

因为使用的是UDP协议，所以数据包的源IP地址很容易被欺骗，这意味着攻击者可以欺骗Memcache服务器将这个过大的响应数据包发送到另一个IP地址，即DDoS攻击受害者的IP地址。

在专业术语里，这种类型的DDoS攻击被称为“反射式DDoS攻击（reflective DDoS或reflection DDoS）”，响应数据包被放大的次数则被称为DDoS攻击的“放大系数（amplification factor）”。

根据Cloudflare的说法，基于Memcache服务器的反射式DDoS攻击可能具有高达5.12万倍的放大系数。该公司援引了最近针对其网络发起的DDoS攻击，攻击者发送了大小为15字节的数据包，而Memcache服务器使用大小为750kB数据包作为回应。

Cloudflare指出，这种放大系数可能会有所不同，具体取决于攻击者制作恶意请求的能力。无论怎样，这些恶意请求都能够欺骗Memcache服务器以更大的数据包进行响应。

Cloudflare还表示，在过去两天里，基于Memcache服务器最大的反射DDoS攻击达到了260 Gbps（千兆字节每秒）和23 Mpps（每秒数百万个数据包）的巨大规模。

“大部分响应数据包的大小为1400字节，23Mpps x 1400字节提供了257Gbps的带宽，这正如图表所示。”Cloudflare的工程师Marek Majkowski说。

另据奇虎360网络安全研究实验室（Netlab）公布的统计数据来看，Cloudflare的监测结果得到了证实，被作为反射式DDoS攻击源的Memcache服务器数量在这两天突然上升。

Cloudflare表示，除了UDP协议，还有其他协议和技术可能会被滥用于反射DDoS攻击，例如DNS、TFTP、LDAP、CLDAP、SNMP、BitTorrent等。

它们的放大系数通常在2到10之间，最高可达50到100。很少会看到DDoS攻击的反射放大系数会超过100，更不用说1万或者5万，Memcache服务器似乎成了一个例外。

即使这样，如果Memcache没有成为流行的网页缓存解决方案，这或许也不会是一个太大问题。但事实证明，这种假设是没有任何意义的，因为Memcache服务器在全球范围内得到了广泛的应用。

根据网络空间搜索引擎Shodan在本周二的搜索结果来看，共有93,534台Memcache服务器被发现在线暴露。大部分位于美国，其次是中国和法国。

安全专家呼吁各位Memcache服务器所有者禁用UDP端口，如果不经常使用它的话。另外，请务必确保Memcache服务器在连接到互联网时受到了防火墙的限制，或者应该直接将它们置于专用网络中。

声明：本文来自黑客视界，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。