摘要：騰訊云捕獲多起反射型攻擊截止月日，騰訊云已捕獲到多起利用發(fā)起的反射型攻擊。騰訊云數(shù)據(jù)監(jiān)測(cè)顯示，黑產(chǎn)針對(duì)騰訊云業(yè)務(wù)發(fā)起的反射型攻擊從月日起進(jìn)入活躍期，在月日達(dá)到活躍高峰，隨后攻擊次數(shù)明顯減少，到月日再次出現(xiàn)攻擊高峰。

歡迎大家前往騰訊云+社區(qū)，獲取更多騰訊海量技術(shù)實(shí)踐干貨哦~

本文由騰訊游戲云發(fā)表于云+社區(qū)專欄

背景：Memcached攻擊創(chuàng)造DDoS攻擊流量紀(jì)錄

近日，利用Memcached服務(wù)器實(shí)施反射DDoS攻擊的事件呈大幅上升趨勢(shì)。DDoS攻擊流量首次過(guò)T，引發(fā)業(yè)界熱烈回應(yīng)?，F(xiàn)騰訊游戲云回溯整個(gè)事件如下：

追溯2 月 27 日消息，Cloudflare 和 Arbor Networks 公司于周二發(fā)出警告稱，惡意攻擊者正在濫用 Memcached 協(xié)議發(fā)起分布式拒絕服務(wù)（DDoS）放大攻擊，全球范圍內(nèi)許多服務(wù)器（包括 Arbor Networks 公司）受到影響。下圖為監(jiān)測(cè)到Memcached攻擊態(tài)勢(shì)。

僅僅過(guò)了一天，就出現(xiàn)了1.35Tbps攻擊流量刷新DDoS攻擊歷史紀(jì)錄。

美國(guó)東部時(shí)間周三下午，GitHub透露其可能遭受了有史最強(qiáng)的DDoS攻擊，專家稱攻擊者采用了放大攻擊的新方法Memcached反射攻擊，可能會(huì)在未來(lái)發(fā)生更大規(guī)模的分布式拒絕服務(wù)（DDoS）攻擊。對(duì)GitHub平臺(tái)的第一次峰值流量攻擊達(dá)到了1.35Tbps，隨后又出現(xiàn)了另外一次400Gbps的峰值，這可能也將成為目前記錄在案的最強(qiáng)DDoS攻擊，此前這一數(shù)據(jù)為1.1Tbps。

據(jù)CNCERT3月3日消息，監(jiān)測(cè)發(fā)現(xiàn)Memcached反射攻擊在北京時(shí)間3月1日凌晨2點(diǎn)30分左右峰值流量高達(dá)1.94Tbps。

騰訊云捕獲多起Memcached反射型DDoS攻擊

截止3月6日，騰訊云已捕獲到多起利用Memcached發(fā)起的反射型DDoS攻擊。主要攻擊目標(biāo)包括游戲、門(mén)戶網(wǎng)站等業(yè)務(wù)。

騰訊云數(shù)據(jù)監(jiān)測(cè)顯示，黑產(chǎn)針對(duì)騰訊云業(yè)務(wù)發(fā)起的Memcached反射型攻擊從2月21日起進(jìn)入活躍期，在3月1日達(dá)到活躍高峰，隨后攻擊次數(shù)明顯減少，到3月5日再次出現(xiàn)攻擊高峰。攻擊態(tài)勢(shì)如下圖所示：

下圖為騰訊云捕獲到的Memcached反射型DDoS攻擊的抓包樣本：

騰訊云捕獲到的Memcached反射源為22511個(gè)。Memcached反射源來(lái)源分布情況如下圖所示：

在騰訊云宙斯盾安全系統(tǒng)防護(hù)下，騰訊云業(yè)務(wù)在Memcached反射型DDoS攻擊中不受影響。

那么，什么是Memcached反射攻擊？

一般而言，我們會(huì)根據(jù)針對(duì)的協(xié)議類型和攻擊方式的不同，把 DDoS 分成 SYN Flood、ACK Flood、UDP Flood、NTP Flood、SSDP Flood、DNS Flood、HTTP Flood、ICMP Flood、CC 等各類攻擊類型。

DDoS攻擊的歷史可以追溯到上世紀(jì)90年代，反射型DDoS 攻擊則是DDoS攻擊中較巧妙的一種。攻擊者并不直接攻擊目標(biāo)服務(wù) IP，而是通過(guò)偽造被攻擊者的 IP向開(kāi)放某些某些特殊服務(wù)的服務(wù)器發(fā)請(qǐng)求報(bào)文，該服務(wù)器會(huì)將數(shù)倍于請(qǐng)求報(bào)文的回復(fù)數(shù)據(jù)發(fā)送到那個(gè)偽造的IP（即目標(biāo)服務(wù)IP），從而實(shí)現(xiàn)隔山打牛，四兩撥千金的效果。而Memcached反射型攻擊因?yàn)槠涓哌_(dá)數(shù)萬(wàn)倍的放大倍數(shù)，更加受到攻擊者的青睞。

Memcached反射攻擊，就是發(fā)起攻擊者偽造成受害者的IP對(duì)互聯(lián)網(wǎng)上可以被利用的Memcached的服務(wù)發(fā)起大量請(qǐng)求，Memcached對(duì)請(qǐng)求回應(yīng)。大量的回應(yīng)報(bào)文匯聚到被偽造的IP地址源，形成反射型分布式拒絕服務(wù)攻擊。

為何會(huì)造成如此大威脅？

據(jù)騰訊云宙斯盾安全團(tuán)隊(duì)成員介紹，以往我們面臨的DDoS威脅，例如NTP和SSDP反射攻擊的放大倍數(shù)一般都是30~50之間，而Memcached的放大倍數(shù)是萬(wàn)為單位，一般放大倍數(shù)接近5萬(wàn)倍，且并不能排除這個(gè)倍數(shù)被繼續(xù)放大的可能性。利用這個(gè)特點(diǎn)，攻擊者可以用非常少的帶寬即可發(fā)起流量巨大的DDoS攻擊。

安全建設(shè)需要未雨綢繆

早在Memcached反射型DDoS攻擊手法試探鵝廠業(yè)務(wù)之時(shí)，騰訊云已感知到風(fēng)險(xiǎn)并提前做好部署，這輪黑客基于Memcached反射發(fā)起的DDoS攻擊都被成功防護(hù)。

與此同時(shí)，騰訊云在捕獲到Memcached攻擊后，及時(shí)協(xié)助業(yè)務(wù)客戶自查，提供監(jiān)測(cè)和修復(fù)建議以確保用戶的服務(wù)器不被用于發(fā)起DDoS攻擊。

應(yīng)對(duì)超大流量DDoS攻擊的安全建議

DDoS攻擊愈演愈烈，不斷刷新攻擊流量紀(jì)錄，面臨超越Tbps級(jí)的超大流量攻擊，騰訊云宙斯盾安全產(chǎn)品團(tuán)隊(duì)建議用戶做以下應(yīng)對(duì)：

1.需要加強(qiáng)對(duì)反射型UDP攻擊的重點(diǎn)關(guān)注，并提高風(fēng)險(xiǎn)感知能力

反射型UDP攻擊占據(jù)DDoS攻擊半壁江山。根據(jù)2017年騰訊云游戲行業(yè)DDoS攻擊態(tài)勢(shì)報(bào)告顯示，反射型UDP攻擊占了2017年全年DDoS攻擊的55%，需要重點(diǎn)關(guān)注此種類型攻擊。

此次Memcached反射型攻擊作為一種較新型的反射型UDP攻擊形式出現(xiàn)，帶來(lái)巨大安全隱患，需要業(yè)界持續(xù)關(guān)注互聯(lián)網(wǎng)安全動(dòng)態(tài)，并提高風(fēng)險(xiǎn)感知能力，做好策略應(yīng)對(duì)。在行業(yè)內(nèi)出現(xiàn)威脅爆發(fā)時(shí)進(jìn)行必要的演練。

2.應(yīng)對(duì)超大流量攻擊威脅，建議接入騰訊云超大容量高防產(chǎn)品

應(yīng)對(duì)逐步升級(jí)的DDoS攻擊風(fēng)險(xiǎn)。建議配置騰訊云超大容量高防產(chǎn)品，隱藏源站IP。用高防IP充足的帶寬資源應(yīng)對(duì)可能的大流量攻擊行為，并根據(jù)業(yè)務(wù)特點(diǎn)制定個(gè)性化的防護(hù)策略，被DDoS攻擊時(shí)才能保證業(yè)務(wù)可用性，從容處理。在面對(duì)高等級(jí)DDoS威脅時(shí)，及時(shí)升級(jí)防護(hù)配置，必要時(shí)請(qǐng)求DDoS防護(hù)廠商的專家服務(wù)。

了解騰訊云新一代高防產(chǎn)品：https://cloud.tencent.com/pro...

3.易受大流量攻擊行業(yè)需加強(qiáng)防范

門(mén)戶、金融、游戲等往年易受黑產(chǎn)死盯的行業(yè)需加強(qiáng)防范，政府等DDoS防護(hù)能力較弱的業(yè)務(wù)需提高大流量攻擊的警惕。

風(fēng)險(xiǎn)往往曾經(jīng)出現(xiàn)過(guò)苗頭，一旦被黑產(chǎn)的春風(fēng)點(diǎn)起，在毫無(wú)防護(hù)的情形之下，就會(huì)燃起燎原大火。

參考鏈接：

https://blog.cloudflare.com/m...

http://mp.weixin.qq.com/s/b0T...

問(wèn)答
如何防范DDos攻擊？
相關(guān)閱讀
游戲出海，如何避開(kāi)DDoS這座暗礁？
3行代碼，為QQ輕游戲加上語(yǔ)音互動(dòng)能力
《堡壘之夜》暢爽體驗(yàn)的秘訣了解一下！ 
【每日課程推薦】機(jī)器學(xué)習(xí)實(shí)戰(zhàn)！快速入門(mén)在線廣告業(yè)務(wù)及CTR相應(yīng)知識(shí)

此文已由作者授權(quán)騰訊云+社區(qū)發(fā)布，更多原文請(qǐng)點(diǎn)擊

搜索關(guān)注公眾號(hào)「云加社區(qū)」，第一時(shí)間獲取技術(shù)干貨，關(guān)注后回復(fù)1024 送你一份技術(shù)課程大禮包！

海量技術(shù)實(shí)踐經(jīng)驗(yàn)，盡在云加社區(qū)！