犯罪分子可利用内存缓存服务器通过非常少的计算资源发动超大规模的分布式拒绝服务攻击。

这种类型的DDoS攻击之所以有可能实现，是因为Memcache开发人员在产品中实现对UDP协议支持的方式不安全。

更糟糕的是，Memcache服务器还会在默认配置中将UDP端口暴露给外部链接，也就是说未受防火墙保护的任何Memcache服务器均可用于发动DDoS攻击。

　　Memcache服务器可用于发动反射型DDoS攻击

Cloudflare公司表示前几天检测到了经由被暴露Memcache服务器执行的多起DDoS攻击。

该公司在技术报告中解释称，犯罪分子向端口11211上的Memcache服务器发送小字节请求。由于UDP协议并未正确执行，因此Memcache服务器并未以类似或更小的包予以响应，而是以有时候比原始请求大数千倍的包予以响应。

由于UDP协议即包的原始IP地址能轻易遭受欺骗，也就是说攻击者能诱骗Memcache服务器将过大规模的响应包发送给另一个IP地址即DDoS攻击的受害者的IP地址。

这种类型的DDoS攻击被称为“反射型DDoS”或“反射DDoS”。响应数据包被放大的倍数被称为DDoS攻击的“放大系数”。

　　Memcache放大系数可达到51,200

Cloudflare公司表示，基于Memcache的反射型DDoS攻击的放大系数可达到51,200。该公司表示，在针对其网络的最新DDoS攻击中，攻击者发送了15字节的包，而Memcache服务器以750kB的包予响应。

不过，这种放大系数根据攻击者构造恶意请求的能力而各不相同。攻击者通过构造恶意请求诱骗服务器以规模更大的包予以响应。

Cloudflare公司还指出，该公司在前两天所有检测到的最大规模的反射型DDoS攻击规模高达260 G比特每秒和23 Mpps(百万包每秒)。

Cloudflare公司的工程师Marek Majkowski表示，“多数Memcache响应包的规模是1400比特，可达到257 G比特每秒的带宽。”他认为对于一个新的放大向量来说，这个规模巨大，数字不会撒谎。

确实，数字不会撒谎。奇虎360网络安全研究院(Netlab)发布的公开数据显示，被作为反射型DDoS攻击来源的Memcache服务器数量骤升。

目前可利用的Memcache服务器已超过9.3万台，可用于发动反射型DDoS攻击的其它协议和技术还包括DNS，TFTP，LDAP，CLDAP，SNMP，BitTorrent等。

放大系数的范围一般是2到10，最大的介于50到100.放大系数超过100的反射型DDoS攻击非常罕见，更不要说Memcache服务器案例中的10,000或50,000了。

如果Memcache不是流行的网页缓存解决方案的话，那么问题也不会这么严重.Byep Computer找到了超过9.3万台Memcache服务器可从网上访问。好在这个数量比2015年发现的134,000要少。

安全研究人员建议Memcache服务器所有人如果不使用UDP端口则将其关闭，且将这些服务器置于私有网络中并部署防火墙保护措施.Cloudflare公司已在报告中提供了一些禁用Memcache UDP支持的简单步供供服务器所有人参考。

Akamai公司和Arbor Networks公司也发布了这个新型DDoS攻击向量的报告。

(责任编辑：安博涛)