什么是 Memcached DDoS 攻击？Memcached DDoS 攻击如何运作？

您的网站、应用或在线服务前一分钟还运行良好，然后突然间流量激增。但这些流量并非来自真实用户，而是来自劫持服务器并向您发送大量数据的恶意攻击者。

Memcached DDoS 攻击中发生的情况。让我们分析一下这些攻击是什么、它们如何工作，以及最重要的是，如何保护您的系统免受攻击。

什么是 Memcached DDoS 攻击？

Memcached DDoS 攻击是一种分布式拒绝服务 (DDoS) 攻击，利用了 Memcached 服务器的漏洞。Memcached 是一种流行的缓存系统，用于通过将数据存储在内存中以减少延迟来加快数据库驱动的网站速度。

然而，如果这些服务器没有得到适当的保护，攻击者可以利用它们来扩大攻击，向目标发送大量流量并导致受害者的服务崩溃。

DDoS 引导程序等技术将流量放大多达 51,000 倍，使得即使是小型僵尸网络也能够产生大量攻击。

以下是根据影响程度记录的最臭名昭著的 Memcached DDoS 攻击：

大多数 DDoS 攻击（包括利用 Memcached 的攻击）持续时间短但强度大。平均而言，超过一半的攻击持续时间为 5 到 15分钟。但是，大规模攻击可能持续数小时甚至数天，具体取决于目标和使用的载体，并且持续处于高位。

Memcached DDoS 攻击如何运作？

让我们了解一下Memcached 攻击实际上是如何运作的。

Memcached 服务器依赖于Memcached 协议，该协议旨在通过在内存中缓存数据库查询来快速响应合法用户请求。当这些服务器在没有适当安全保护的情况下暴露在公共互联网上时，就会出现问题。

当服务器处于开放状态时，攻击者可以向 Memcached 服务器发送伪造的请求，这些请求看似来自受害者的 IP 地址，而不是他们自己的 IP 地址。这就是IP 欺骗发挥作用的地方。

以下是更详细的情况：

1. 发送欺骗性请求
   攻击者利用一种称为 UDP（用户数据报协议）的常见网络通信协议，该协议旨在实现快速数据传输。与需要握手才能建立连接的 TCP 不同，UDP 不会验证发送者。这使得它容易受到IP 欺骗— 攻击者的请求看起来像是来自受害者的 IP 地址。
2. 反射
   服务器认为请求合法，并向受害者的 IP 地址发送数据。这就是所谓的反射攻击。Memcached服务器将数据反射到目标（受害者）的 IP 地址，而目标（受害者）实际上从未发出过请求。
3. 放大效应
   真正的损害就在这里。在Memcached DDoS 攻击中，返回的数据量远大于请求本身。一个 15 字节的小请求可以触发高达 750KB 甚至更大的响应。这种放大效应非常显著，攻击者可以将其影响放大多达 51,000 倍。少量请求会变成大量数据响应。
4. 数据洪流
   一旦发起攻击，数千甚至数百万个伪造请求就会发送到Memcached 服务器，所有服务器都会向受害者的 IP 地址发送大量流量。受害者的系统不堪重负，其资源（如带宽、服务器和防火墙）无法处理负载。这会导致速度变慢、崩溃或服务完全中断。
5. 分层影响
   这些攻击通常针对OSI 模型的网络层（第 3 层）和传输层（第 4 层） ，导致基础设施因大量传入数据而崩溃。但是，这种攻击也可能影响应用层（第 7 层） ，降低实际用户体验，导致页面加载缓慢或根本不加载。

将此数量乘以数千甚至数百万个请求，您就会看到受害者如何被流量压垮。这会使其资源超载，导致速度变慢、崩溃并可能导致服务中断。

‍

Memcached DDoS 攻击中的反射与放大

Memcached DDoS 攻击是两种强大技术的组合：反射和放大。了解这两个组件对于掌握这些攻击的严重性至关重要。

• 反射是指攻击者操纵 Memcached 服务器向其他目标发送响应。这是通过在请求中欺骗受害者的 IP 地址来实现的，使服务器将响应“反射”回受害者，而受害者实际上从未发起过请求。这种伎俩迫使服务器在不知不觉中用数据轰炸目标。
• 放大效应通过大幅增加响应的大小，将这种攻击提升到了一个新的水平。一个很小的请求（可能只有 15 个字节）可能会导致巨大的响应，最大可达 750KB。这种不成比例的响应使得Memcached 放大效应非常危险——它允许攻击者以最小的努力发送大量数据。Memcached协议中缺乏内置身份验证，这加剧了其漏洞，因为攻击者可以反复利用这种放大效应。

当这两种技术结合在一起时，Memcached 服务器就成为网络犯罪分子的强大工具，他们可以用相对较少的资源发起高影响力的 DDoS 攻击。

目标不堪重负，因为攻击利用服务器通信的反射特性和巨大的放大效应来造成破坏。

Memcached DDoS 攻击的影响

Memcached DDoS 攻击的影响可能是毁灭性的，尤其是当您依赖在线服务或托管依赖于持续正常运行时间的网站时。以下是一些潜在后果：

1. 服务中断：您的网站或应用程序可能无法访问，从而导致收入损失，尤其是对于依赖持续在线服务的电子商务网站或企业而言。
2. 延迟增加：即使攻击不会完全导致您的网站瘫痪，也会导致处理请求出现严重延迟。Memcached延迟增加会让用户感到沮丧，导致用户体验不佳和潜在客户流失。
3. 声誉受损： Memcached DDoS 攻击导致服务中断或速度变慢可能会损害贵公司的声誉。客户期望可靠性，当网站瘫痪时，会引发对安全性和可信度的担忧。
4. 昂贵的开销：处理和缓解 DDoS 攻击的后果可能非常昂贵。从聘请安全专家到升级基础设施，财务成本会迅速增加。

Memcached DDoS 攻击的量化扩展方式如下：

如何预防和缓解 Memcached DDoS 攻击

好消息是，有办法保护自己免受此类攻击。虽然没有万无一失的方法，但遵循这些最佳做法可以大大降低风险。

1. 保护您的 Memcached 服务器：首先，确保您的Memcached 服务器不会暴露在互联网上。将它们配置为仅接受来自网络内受信任来源的流量。实施访问控制列表 (ACL) 或防火墙规则可以防止未经授权的访问。
2. 禁用 UDP 协议：大多数Memcached DDoS 攻击都利用 UDP（用户数据报协议），这是一种无连接通信协议。禁用 UDP 支持并改用 TCP 可以减少您遭受这些攻击的风险。UDP 允许更快的通信，但更容易受到欺骗。
3. 速率限制：实施速率限制技术来控制单个 IP 地址可从服务器请求的数据量。这样，即使发起攻击，也会受到限制。
4. DDoS 保护服务：考虑投资能够实时检测和缓解攻击的 DDoS 保护服务。这些服务可以吸收大量流量并阻止其进入您的系统。Cloudflare 或 Akamai 等基于云的服务提供此类保护，可以保护您的网站免受大规模 DDoS 攻击。
5. 网络监控：定期监控网络流量，以发现异常模式或流量高峰。尽早发现攻击可以为您赢得宝贵的时间来减轻损害，以免服务中断。
6. 定期修补和更新：确保您的Memcached 服务器始终运行最新的软件版本。补丁程序通常会发布以修复可能在 DDoS 攻击中被利用的安全漏洞。保持所有更新可降低风险。

结论

Memcached DDoS 攻击是一种严重的威胁，但只要采取正确的预防措施，您就可以大大降低成为此类攻击受害者的风险。了解这些攻击的工作原理、它们如何利用Memcached 协议以及反射和放大之间的区别可以帮助您更好地做好准备。