如下是Memcached型反射型DDoS攻擊的抓包樣本，從UDP協(xié)議+源端口11211的特征，可以快速分辨這種攻擊類(lèi)型。

　　這種攻擊，發(fā)起攻擊者偽造成受害者的IP對(duì)互聯(lián)網(wǎng)上可以被利用的Memcached的服務(wù)發(fā)起大量請(qǐng)求，Memcached對(duì)請(qǐng)求回應(yīng)。大量的回應(yīng)報(bào)文匯聚到被偽造的IP地址源（也就是受害者），形成反射型分布式拒絕服務(wù)攻擊。

　　令人擔(dān)憂(yōu)的一點(diǎn)是，利用Memcached可以數(shù)萬(wàn)倍的放大報(bào)文，即返回的報(bào)文大小是請(qǐng)求大小的數(shù)萬(wàn)倍，攻擊者可以利用非常少的帶寬即可發(fā)起流量巨大的DDoS攻擊。而NTP和SSDP反射攻擊一般只能放大數(shù)十倍到數(shù)百倍。Memcached放大反射DDoS攻擊因?yàn)槠浞糯蟊稊?shù)能產(chǎn)生更大的破壞力。

　　隨著利用Memcached進(jìn)行DDoS攻擊技術(shù)的公開(kāi)，越來(lái)越多嘗試使用Memcached進(jìn)行反射的DDoS發(fā)生，并且此類(lèi)型DDoS攻擊正快速上升。

　　近期，黑客已經(jīng)掃描并收集全球可以被利用的MemcachedIP，并出現(xiàn)大量試探性超大流量Memcached DDoS攻擊，下一步Memcached大流量DDoS攻擊將成熟化并大量出現(xiàn)，成為黑客新的利器。

　　整個(gè)互聯(lián)網(wǎng)可以用于Memcached反射的IP達(dá)到數(shù)十萬(wàn)，為攻擊者提供了海量的軍火庫(kù)。

　　隨著超大流量DDoS發(fā)起難度降低，IDC和云服務(wù)商需要儲(chǔ)備更多的網(wǎng)絡(luò)帶寬用于防御，中小型IDC將很難應(yīng)對(duì)這種超大規(guī)模DDoS攻擊，只有具備超大帶寬和運(yùn)營(yíng)商黑洞能力的云服務(wù)商才能有力應(yīng)對(duì)。

　　目前，阿里云已提供Memcached安全配置建議，并在安騎士提供修復(fù)引導(dǎo)，幫助云上用戶(hù)修復(fù)Memcached風(fēng)險(xiǎn)。高防IP中已提供UDP反射封禁服務(wù)。

　　Memcached 是一個(gè)高性能的分布式內(nèi)存對(duì)象緩存系統(tǒng)，用于動(dòng)態(tài)Web應(yīng)用以減輕數(shù)據(jù)庫(kù)負(fù)載。它通過(guò)在內(nèi)存中緩存數(shù)據(jù)和對(duì)象來(lái)減少讀取數(shù)據(jù)庫(kù)的次數(shù)，從而提高動(dòng)態(tài)、數(shù)據(jù)庫(kù)驅(qū)動(dòng)網(wǎng)站的速度。

　　如果網(wǎng)站包含了訪(fǎng)問(wèn)量很大的動(dòng)態(tài)網(wǎng)頁(yè)，那么數(shù)據(jù)庫(kù)的負(fù)載將會(huì)很高。由于大部分?jǐn)?shù)據(jù)庫(kù)請(qǐng)求都是讀操作，大部分讀較高的業(yè)務(wù)系統(tǒng)采用Memcached減少數(shù)據(jù)庫(kù)讀，實(shí)現(xiàn)緩存功能可以顯著地減小數(shù)據(jù)庫(kù)負(fù)載，提升網(wǎng)站性能。

　　針對(duì)如何防范Memcached，阿里云安全專(zhuān)家有兩個(gè)方面的建議：

　　首先，如何避免被利用成為Memcached反射端：

　　建議對(duì)運(yùn)行的Memccached服務(wù)進(jìn)行安全檢查和加固，防止被黑客利用發(fā)起DDoS攻擊造成不必要的帶寬流量；

　　如果您的Memcached版本低于1.5.6，且不需要監(jiān)聽(tīng)UDP。您可以重新啟動(dòng)Memcached 加入 -U 0啟動(dòng)參數(shù)，例如：Memcached -U 0，禁止監(jiān)聽(tīng)在udp協(xié)議上

　　更多Memcached服務(wù)安全加固文檔：

　　https://help.aliyun.com/knowledge_detail/37553.html

　　如果您購(gòu)買(mǎi)了阿里云云盾安騎士，您可以在安騎士控制臺(tái)根據(jù)引導(dǎo)進(jìn)行修復(fù)。

　　第二，如何防護(hù)Memcached DDoS反射攻擊

　　建議優(yōu)化業(yè)務(wù)架構(gòu)，將業(yè)務(wù)分散到多個(gè)IP上；

　　利用Memcached可以相對(duì)容易發(fā)起超大流量DDoS攻擊，防御Memcached攻擊需要儲(chǔ)備足夠的帶寬。如果遇到大流量反射攻擊，可以采購(gòu)云清洗服務(wù)，并建議采用針對(duì)UDP反射進(jìn)行過(guò)濾的云清洗服務(wù)。阿里云高防IP已推出UDP封堵服務(wù)。

　　https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/