近日来，一种利用Memcached系统发起的新型大规模反射型攻击受到我们的关注。

Memcached是一款开源、高性能、分布式内存对象缓存系统，可应用各种需要缓存的场景。由于性能卓越，目前在国内外众多大型互联网应用中被广泛使用。

利用Memcached的特性，攻击者将其作为放大器，发送大量带有待攻击IP地址的UDP数据包给服务器主机，然后主机对伪造的IP地址源做出大量回应，形成分布式拒绝服务攻击，即DrDoS反射型攻击。

小编先用一个形象的例子来介绍下这种攻击的前世今生（总是不由得想要拿隔壁老王说事儿。。。）

对发起源进行认证的可信连接，就像TCP

有缺陷或漏洞的网络协议，如ICMP，UDP 等，对源 IP 不进行认证

由于对源 IP 不进行认证，所以容易被伪造欺骗

既然容易被欺骗，也就具备了被利用的可能，即“反射”

大量的连接请求，就会让目标疲于响应，资源耗尽，即“DDoS攻击”，而这种不直接进攻，而是利用第三方反射的攻击，就是传说中的DrDoS，即反射型DDoS攻击，也可以叫做放大型DDoS攻击。

响应数据包被放大的倍数被称为 DDoS攻击的“放大系数”，一般的反射型攻击放大系数在几十到几百之间，如常被利用的DNS协议、NTP协议等；而此次利用Memcrashed发起的反射型攻击，放大系数高达五万倍！

Memcached缓存系统作为目前最为广泛使用的分布式内存缓存系统，由于其卓越的性能，在国内外众多大型互联网应用中被广泛使用。巨大的使用量，结合其易被利用的协议特性，再加上使用者在安全使用策略上的缺失，导致其一旦被利用发起攻击，将是史上最强的核弹级DrDoS攻击。

随着事态的曝光，利用Memcached 进行DrDoS攻击的趋势正在快速上升。国内外多家知名安全机构监控到了大流量的攻击， 部分攻击已经高达700多G。

大会在即，盛邦安全锐堤RayADS异常流量清洗系统和锐御RayWAF Web应用防护系统第一时间发布更新，在UDP反射攻击策略模块更新了针对Memcached DrDoS的专项防护策略，对其进行针对性清洗防护，为网络安全保驾护航。

攻守道

第一式——非攻

对于Memcache使用者，要保证自己不被利用成为“放大器”，安全建议：

1、升级最新Memcache版本，提升自身安全性；

2、指定必要的安全策略，做可信可控的访问；

3、修改默认的端口或添加端口扫描防护策略，防止被发现利用。

第二式——固守

1、对于Memcached DrDoS防范者，部署专业的DDoS清洗设备，添加针对性的防护策略；

2、提高风险监控等级，利用限速和动态封禁等组合策略进行应急处置。