近日，程序員圈炸了鍋，知名代碼托管網(wǎng)站GitHub遭遇了有史以來最嚴重的DDos網(wǎng)絡攻擊，峰值流量達到1.35Tbps。GitHub以“代碼分享＋程序員垂直社交”、“”企業(yè)代碼管理“為主要功能，擁有上百萬的開發(fā)者程序員，堪稱最大的程序員聚集地。據(jù)百度安全指數(shù)監(jiān)測，截至3月5日9:00，國內(nèi)已有27396個網(wǎng)站受到影響，其中廣東、北京、安徽三個省市為重災區(qū)。

影響還在持續(xù)，百度安全正在持續(xù)監(jiān)控中，詳見“百度安全指數(shù)播報”。究竟是什么攻擊敢在太歲頭上動土？

據(jù)外媒透露，攻擊者是利用前不久公開的Memcached漏洞進行DDoS攻擊，引發(fā)廣泛關注。其利用memcached協(xié)議，發(fā)送大量帶有被害者IP地址的UDP數(shù)據(jù)包給放大主機，然后放大主機對偽造的IP地址源做出大量回應，從而形成DRDoS（分布式反射拒絕服務）攻擊。

百度安全指數(shù)將此漏洞定義為“高?！?。

【關于DDoS反射攻擊】

攻擊者，偽造被攻擊目標IP，發(fā)送海量偽造請求到反射服務器。

反射服務器，需要滿足2個條件，第一，上面運行存在漏洞名的UDP協(xié)議服務，能夠滿足特定條件下，響應包遠遠大于請求包。第二，該協(xié)議或服務在互聯(lián)網(wǎng)上有一定的使用量，如DNS，NTP等基礎服務。

【關于Memcache反射】

由于Memcache同時監(jiān)聽TCP和UDP，滿足反射DDoS條件。

Memcache作為企業(yè)應用組建，具有較高外發(fā)帶寬。

Memcache不需要認證即可進行交互。

很多用戶在編譯安裝時，將服務錯誤監(jiān)聽在0.0.0.0，且未進行安全策略配置。

【百度安全修復建議】

1、Memcache的用戶建議：

在不使用UDP的情況下禁用UDP支持，在memcached啟動時，您可以指定–listen 127.0.0.1僅偵聽本地主機并-U 0完全禁用UDP。將服務放置于內(nèi)部網(wǎng)絡內(nèi)，確實有外網(wǎng)訪問需求設置ACL。

2、ISP服務商基于網(wǎng)絡針對UDP協(xié)議的11211端口進行速率限制。