近日，程序員圈炸了鍋，知名代碼托管網(wǎng)站GitHub遭遇了有史以來(lái)最嚴(yán)重的DDos網(wǎng)絡(luò)攻擊，峰值流量達(dá)到1.35Tbps。GitHub以“代碼分享＋程序員垂直社交”、“”企業(yè)代碼管理“為主要功能，擁有上百萬(wàn)的開(kāi)發(fā)者程序員，堪稱最大的程序員聚集地。據(jù)百度安全指數(shù)監(jiān)測(cè)，截至3月5日9:00，國(guó)內(nèi)已有27396個(gè)網(wǎng)站受到影響，其中廣東、北京、安徽三個(gè)省市為重災(zāi)區(qū)。

影響還在持續(xù)，百度安全正在持續(xù)監(jiān)控中，詳見(jiàn)“百度安全指數(shù)播報(bào)”。究竟是什么攻擊敢在太歲頭上動(dòng)土？

據(jù)外媒透露，攻擊者是利用前不久公開(kāi)的Memcached漏洞進(jìn)行DDoS攻擊，引發(fā)廣泛關(guān)注。其利用memcached協(xié)議，發(fā)送大量帶有被害者IP地址的UDP數(shù)據(jù)包給放大主機(jī)，然后放大主機(jī)對(duì)偽造的IP地址源做出大量回應(yīng)，從而形成DRDoS（分布式反射拒絕服務(wù)）攻擊。

百度安全指數(shù)將此漏洞定義為“高?！?。

【關(guān)于DDoS反射攻擊】

攻擊者，偽造被攻擊目標(biāo)IP，發(fā)送海量偽造請(qǐng)求到反射服務(wù)器。

反射服務(wù)器，需要滿足2個(gè)條件，第一，上面運(yùn)行存在漏洞名的UDP協(xié)議服務(wù)，能夠滿足特定條件下，響應(yīng)包遠(yuǎn)遠(yuǎn)大于請(qǐng)求包。第二，該協(xié)議或服務(wù)在互聯(lián)網(wǎng)上有一定的使用量，如DNS，NTP等基礎(chǔ)服務(wù)。

【關(guān)于Memcache反射】

由于Memcache同時(shí)監(jiān)聽(tīng)TCP和UDP，滿足反射DDoS條件。

Memcache作為企業(yè)應(yīng)用組建，具有較高外發(fā)帶寬。

Memcache不需要認(rèn)證即可進(jìn)行交互。

很多用戶在編譯安裝時(shí)，將服務(wù)錯(cuò)誤監(jiān)聽(tīng)在0.0.0.0，且未進(jìn)行安全策略配置。

【百度安全修復(fù)建議】

1、Memcache的用戶建議：

在不使用UDP的情況下禁用UDP支持，在memcached啟動(dòng)時(shí)，您可以指定–listen 127.0.0.1僅偵聽(tīng)本地主機(jī)并-U 0完全禁用UDP。將服務(wù)放置于內(nèi)部網(wǎng)絡(luò)內(nèi)，確實(shí)有外網(wǎng)訪問(wèn)需求設(shè)置ACL。

2、ISP服務(wù)商基于網(wǎng)絡(luò)針對(duì)UDP協(xié)議的11211端口進(jìn)行速率限制。