最近Cloudflare的研究人员发现，黑客可以利用少量的Memcache服务器资源发动大规模的DDoS攻击。经研究，这种类型的DDoS攻击是很可能实现的，因为Memcache开发者已经在他们的产品中实现了对UDP协议的支持。

此外，更糟糕的是，Memcache服务器还会将他们的UDP端口暴露在默认配置的外部连接中，这意味着任何不支持防火墙的Memcache服务器现在都可以被用于DDoS攻击。

Memcache服务器可用于发动反射型DDoS攻击

Cloudflare的研究人员表示，他们已经在过去几天内检测到通过暴露的Memcached服务器进行的多次DDoS攻击。目前，该检测报告已经发布，你可以点此查看详细分析。

具体过程是这样的，黑客通过端口11211向Memcached服务器发送小字节的请求。由于UDP协议没有被正确执行，因此Memcache服务器并未以类似或更小的包予以响应，所以Memcache服务器有时会使用的响应数据包比初始请求大数千倍。

因为数据包是UDP协议，所以它的源IP地址就很容易被欺骗，这意味着攻击者可以诱骗Memcache服务器将这个过大的响应数据包发送到另一个IP地址即受害者的IP。

在DDoS的社交论坛中，黑客把这种类型的DDoS攻击被称为“reflective DDoS”或“reflection DDoS”。响应数据包被放大多少倍，DDoS 攻击的能量就会相应放大多少，行话称为DDoS攻击的“放大系数”。

Memcache的放大倍数可高达51200倍

根据Cloudflare的分析，基于Memcache的反射型DDoS攻击可能具有高达51200的“放大系数”。这个数据来源于Cloudflare所检测到的一次DDoS攻击，当时攻击者发送了15字节的数据包，而Memcache则服务器使用了750kB数据包进行了响应。

不过，这种“放大系数”可能会在不同环境下有所不同，具体取决于攻击者制作恶意请求的能力，攻击者构造的恶意请求规模越大，响应的数据包也就越多。

Cloudflare还表示，过去两天所检测到的基于Memcache的反射型DDoS攻击最大规模高达每秒260Gbp和每秒23 Mpp（百万包）。

Cloudflare工程师Marek Majkowski表示：

大部分Memcache响应的数据包的大小为1400字节，用23Mppx1400字节等于257Gbp，即提供了每秒257Gbp的带宽。

数字不会撒谎，对于一个新出现的攻击规模量来说，这个规模确实非常巨大。因为奇虎360的网络安全研究实验室（Netlab）提供的公开统计数据也显示，Memcache服务器的使用量突然增加，成为反射型DDoS的攻击源头。

目前可利用的Memcache服务器已超过9.3万台，可被用于发动反射型DDoS攻击的其它协议和技术还包括DNS、TFTP、LDAP、CLDAP、SNMP、BitTorrent等。他们所能达到的“放大系数”通常在2到10之间，最大可达50到100。很少会发现DDoS攻击的“放大系数”会超过100的案例，更不用说10000或50000，但Memcache 的放大倍数却做到了。

攻击范围

Memcache并不会成为流行的网页缓存解决方案，所以这类攻击不会造成大范围的影响。虽然Bleeping Computer发现超过93000个Memcache服务器可以在线访问，但相比于2015年的134000访问量已经很少了。

缓解措施

安全专家建议所有Memcache服务器的使用者如果不使用UDP端口则将他们关闭，并将这些服务器置于个人网络中并部署防火墙进行保护。另外你可以点此，查看Cloudflare提供的一些禁用Memcache UDP支持的简单步骤。