月初期间，国内外多家安全机构组织发布了利用内存缓存的协议，作为DRDOS放大器进行“放大的DDoS的攻击的攻击”的漏洞。

监控数据显示，从2月26日至3月2日，短短5天内，全球就发生了79起利用的Memcached的的协议的反射放大攻击，日攻击总流量最高达到419TBytes！这个流量是什么概念呢，简单来说就是塞爆800多个500G硬盘。

作为活跃在信息安全领域中的非知名实力派，并擎科技的网络安全技术团队结合Rapid7产品进行了深入的分析研究，从中发现其攻击原理，并给出了应对的防护建议。

首先，此次事件为“利用内存缓存的协议，作为DRDOS放大器进行放大的DDoS的攻击的攻击”。

其攻击原理为：黑客利用的memcached的的的协议，发送大量带有被害者IP地址的UDP数据包给放大器主机，然后放大器主机对伪造的IP地址源做出大量回应，形成分布式拒绝服务攻击，从而形成DRDOS反射。

可能有些同学不是很懂，我换种说法你就理解了。

小明早就对小强很不爽了，可能是因为小强长得帅，可能是因为小强有钱，有漂亮的女朋友，不管什么原因，小明就是看他不顺眼。

正好今天喝的来劲心想要给小强整蛊一把，怎么整蛊呢？小强不是开了家商店嘛，那我就帮你拉些客户来光临一下吧。

1.找人（黑客寻找肉鸡 ）：要找什么“客户”呢，肯定要找那些头脑简单，四肢发达的，这种人身体健壮一身蛮力，没啥追求爱看热闹，对于搞恶作剧是上上之选。

2.聚人（选中Memcache服务器反射点）：确认好了人选，小明就跑到此类人群聚集地散布谣言去了“听说小强商店在今晚全场免费送，还请来了小四，柳岩，苍老师呢“。

3.骗人（发送大量UDP包，形成DRDoS攻击）：小明按照小强的样子使用了易容大法，跑到大家面前说：“今天晚上我请了柳岩姐姐给大家表演，大家记得来哦”。这些“客户”头脑简单，当然识别不出那是小明，也真的以为今晚会有表演。

到了晚上八点，小强刚吃完饭准备出去散步，打开店门就瞬间一堆壮汉冲进来把商店挤爆了，寸步难行的小强一脸懵逼，根本就动不了，而外面的人还在使出洪荒之力不断想往里面挤。小强被挤的喘不过气，找了旁边的一位大汉提出了经典的茫然三问“你是谁？你哪来？你想要干嘛？”

以上这个小事故就是此次事件的过程，发生此种事件，会使得受害者对外开放的内存缓存存储系统接收到大量数据，造成数据库服务器完全瘫痪，最后严重影响正常业务。

那要怎么检测我的系统是否存在这种漏洞呢？

很简单：

1.利用NMAP端口扫描工具检查目标IP是否开放11211以及是否承载内存缓存服务参考命令如下：

#nmap（目标ip）-p 11211 -T5

2.测试是否能够达到反射型利用效果，参考命令如下：

#python -c“print”\ 0 \ x01 \ 0 \ 0 \ 0 \ x01 \ 0 \ 0stats \ r \ n'“| nc -nvvu（目标ip）11211> / tmp / null

实验结果为发出16个数据包，收到951个数据包。

并擎科技教你如何防护此类攻击

由于新威胁会继续重复使用之前的攻击手法，所以企业必须采取适当措施来保护企业自身的安全，具体措施如下：

对于内存缓存使用者

1.内存缓存的用户建议将服务放置于可信域内，有外网时不要监听0.0.0.0，有特殊需求可以设置ACL或者添加安全组。

2.为预防机器器扫描和SSRF等攻击，修改内存缓存默认监听端口。

3.升级到新版本的内存缓存，并且使用SASL设置密码来进行权限控制。

对于网络层防御

1.多个ISP已经对UDP11211进行限速。

2.打击攻击源：互联网服务提供商应当禁止在网络上执行IP欺骗.IP欺骗DRDOS的根本原因具体措施可以参考BCP38。

3.ISP应允许用户使用BGP流量限制入站UDP11211的流量，以减轻大型DRDOS攻击时的拥堵。

当然，并擎科技代理的Rapid7旗下知名的Nexpose漏洞管理解决方案，可以及时检测此威胁漏洞，并提醒客户及时修补处理。

Rapid7 Nexpose是一款全球知名的安全风险智能解决方案，它能够提前支持，包括发现，检测，验证，风险分类，影响分析，报告和消减风险。

关于Rapid7

Rapid7是全球知名的信息安全公司（渗透测试，漏洞管理和安全服务的全球知名厂商），总部位于美国波士顿，纳斯达克上市公司.Rapid7专注在信息安全领域，为全球超过100个国家的客户提供各类解决方案和安全服务，其中包括：全球财富1000强中的35％，如IBM，微软，苹果，惠普，思科，英特尔，VMware的的的的，EMC公司，波音公司等国内客户包括中国银行，招商银行，华为，阿里巴巴，联想，中芯国际，德邦物流，通联支付，饿了么等.Rapid7产品分类：Nexpose-漏洞管理平台，全球市场占有率名列前茅;Metasploit-渗透测试平台，全球行业标杆; AppSpider的网络应用安全扫描工具中，Gartner评分世界排名名列前茅。

关于Binqsoft（并擎科技）

上海并擎软件科技有限公司（简称“并擎科技”）是一家深耕于信息安全领域，提供相关解决方案及技术服务的高新技术企业。并擎科技凭借丰富的解决方案，专业的服务团队，众多的行业案例，深入的厂商合作以及全国范围内的服务支持能力等综合优势，已向国内外众多知名企业提供了优质解决方案和专业技术服务。

我们的客户包括百度，京东，德勤，中国银联，新开发银行，中国航油，中国商飞，中国东方航空，上海浦发集团，上海浦开集团，江苏电力，吉利汽车，汇众汽车，南京银行，苏州银行，交银租赁，中交三航院，通联支付，汽车之家，饿了么，美特斯邦威，德邦物流，益学堂，普洛斯等。

我们的合作伙伴包括微软，飞塔，Forcepoint，Rapid7，梭子鱼，Imperva，Checkmarx，Radware等业界率先品牌。