近日发现，利用memcached服务器实施反射DDoS攻击的事件呈大幅上升趋势，根据国家互联网应急中心监测发现此类攻击自2018年2月21日开始在我国境内活跃。

　　Memcached是一个分布式缓存系统，多用于云计算及虚拟化平台，利用高速缓存技术，提高用户访问速度。此次memcached反射攻击利用了在互联网上暴露的大批量memcached服务器存在的认证和设计缺陷。攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令数据包，使memcached服务器向受害者IP地址返回比原始数据包大数倍的数据(理论最高可达5万倍)，因响应数据包较大，会造成网络拥堵，形成DDOS攻击。因此，部署Memcached服务并将11211端口开放至互联网的用户将有可能被黑客利用实施反射攻击。

　　据监测，3月1日凌晨2点30分左右，全网攻击峰值流量达到1.94Tbps的高峰后，3月2日至4日有所回落，但3月5日、6日、7日的反射攻击流量峰值又上升至500Gbps。针对这一情况，江苏互联网应急中心在国家互联网应急中心及江苏省通信管理局的指导下，有序开展应急处置，持续开展分析监测：一是全面排查省内源端口或目的端口为11211的IP地址2809个，动态IP地址1811个，静态IP地址998个；二是利用技术手段对源端口或目的端口为11211的IP地址进行分析，核查确认开放memcached服务的服务器IP地址130个；三是开展IP地址归属定位，其中江苏电信及其用户的IP地址108个，江苏移动及其用户的IP地址16个，江苏联通及其用户的IP地址6个；四是联合基础电信企业及安全机构落实并指导用户开展省内memchached服务器的通知处置。

　　随着memcached反射攻击方式被黑客了解和掌握，预测近期该类攻击事件仍将多发，江苏省互联网应急中心特提示相关单位做好防范：

　　1、建议基础电信企业、云服务商及IDC服务商在骨干网、城域网和IDC出入口对源端口或目的端口为11211的UDP流量进行限速、限流和阻断，对被利用发起memcached反射攻击的用户IP进行通报和处置。

　　2、建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源（例如NTP服务器和SSDP主机）开展摸排，对此类反射攻击事件进行预防处置。