memcached DDoS 攻擊是什麼

　memcached DDoS 攻擊 (Memcached Amplification Attack) 是一種基於 UDP 放大攻擊的分散式阻斷服務 (DDoS) 手法。攻擊者會濫用公開在網路上的 memcached 快取伺服器，利用其開放漏洞，將小流量的請求放大成數千倍甚至數萬倍的大流量，並導向受害者，最終造成服務癱瘓。

　memcached DDoS 的攻擊影響能夠做到大規模的網站伺服器癱瘓，即使攻擊者只有幾 Mbps 的上行頻寬，也能製造出數百 Gbps，甚至 Tbps 級別的流量，這種放大效果使得攻擊成本極低，但對企業、金融、遊戲、政府網站...等高價值目標能造成極大風險。

memcached 是什麼？

　memcached 是一種記憶體快取系統，通常用於 SQL 或是 PHP session 之 cache，使用記憶體作為快取，主要用來加速網站或資料庫的回應速度，簡單來說 memcached 是用於加速網站和網路的資料庫快取系統，但 memcached 卻沒有權限管控機制加上它的 UDP 通訊埠 (11211) 若未加上存取限制，就可能被攻擊者利用。

※早期 memcached 版本缺乏存取控制，若未加上防護就容易被濫用。

memcached DDoS 攻擊原理

　memcached 是一種開源的記憶體快取系統，常用來加速網站和資料庫查詢，它支援 TCP 和 UDP，但若 UDP 11211 埠號對外開放、且沒有存取限制，就可能成為攻擊工具。攻擊步驟如下。

1. 攻擊者掃描網路：尋找對外開放的 memcached 伺服器。

2. 構造小封包：攻擊者發送一個小小的 UDP 請求(幾十個位元組)，但會偽造來源 IP，讓伺服器以為請求來自「受害者」。

3. 伺服器回應：memcached 伺服器會回傳一個「非常龐大的回應資料」，可能高達數百 KB，直接送到受害者。

4. 放大攻擊：攻擊者一端送出極小流量，但受害者卻收到成千上萬倍的流量，造成頻寬被塞滿、服務中斷。

　這種放大效果在某些情況下，放大倍數可以達到一萬倍以上，例如攻擊者發送 15 Byte 請求，受害者可能會收到超過 750 KB 的回應；而這也是為什麼 memcached DDoS 攻擊能迅速製造出 Tbps 級別的超大流量的原因。

其核心特點就在於：

• 利用 UDP 協定：UDP 無需連線驗證，容易被 IP 偽造。

• 成本極低：只要少量資源就能引爆巨大攻擊。

• 殺傷力驚人：短時間內造成全球最大規模的 DDoS 攻擊案例。

memcached DDoS 攻擊情境

　我們現在用生活情境來說明遭受到 memcached DDoS 攻擊會是怎麼樣的情境。

情境一：電商網站周年慶活動

一家大型電商網站正在舉辦周年慶活動，數十萬用戶同時上線搶購。為了應付龐大的查詢量，網站後端架設了 memcached 伺服器，把熱門商品的查詢結果快取在記憶體中，加快回應速度；然而，這台 memcached 伺服器不小心對外開放了 UDP 11211 埠號，並且沒有設定存取限制，並且被攻擊者發現。

【攻擊者動作】

1. 攻擊者掃描網路，發現這台「裸露」的 memcached 伺服器。

2. 他偽造來源 IP，把小小的查詢封包(幾十位元組) 假冒成來自「電商官網」。

3. memcached 伺服器收到後，回應一個 數百 KB 的超大資料包，結果全都打到電商官網。

【受害者後果】

• 短短幾秒內，電商網站伺服器被 數千倍放大的流量淹沒，頻寬瞬間塞滿。

• 真正的購物流量進不來，顧客無法結帳、頁面無法載入。

• 年度最大促銷活動被迫中斷，造成營收與品牌形象重大損失。

情境二：線上遊戲伺服器

一家熱門的線上遊戲公司，每天有數十萬名玩家同時登入進行對戰，為了提升遊戲速度，開發團隊在後端部署了 memcached 伺服器，快取玩家資料與排行榜資訊，加快回應。

【攻擊者動作】

1. 攻擊者發現這家公司的 memcached 伺服器 對外開放 UDP 11211，沒有存取限制。

2. 他利用工具發送 小小的 UDP 請求封包，來源 IP 偽造成「遊戲伺服器」。

3. 結果 memcached 伺服器不斷回傳 數百 KB 的超大回應，而且全都傾瀉到遊戲伺服器上。

【受害者後果】

• 遊戲玩家無法登入或頻繁斷線，角色動作嚴重延遲 (Lag)。

• 大規模玩家抱怨，社群口碑瞬間崩盤。

• 公司客服與技術團隊疲於應付，甚至因服務中斷而蒙受巨額營收損失。

生活情境比喻

memcached DDoS 攻擊，就像攻擊者 輕輕吹一聲口哨，卻利用大型揚聲器把聲音放大成震耳欲聾的噪音，並且 對準你的家不停播放，即使攻擊者只付出極小的力氣，你卻要承受巨大的轟炸。

如何防禦 memcached DDoS 攻擊

　如何防禦 memcached DDoS 攻擊？我們從伺服器端和網路與基礎設施進行防禦。

伺服器端防禦(源頭控制)

• 關閉不必要的 UDP 功能
  預設 memcached 支援 TCP 與 UDP，但大多數情況只需要 TCP，建議使用啟動參數 -U 0 關閉 UDP，避免被濫用。

• 限制存取來源
  透過防火牆限制只允許內部可信 IP 存取，若必須對外開放，也應透過 VPN 或專用網段白名單控管。

• 更新與安全配置
  定期更新 memcached 至最新版，避免已知漏洞。啟用存取控制或認證機制，降低被濫用的風險。

網路與基礎設施防禦

• 流量清洗 (Scrubbing Center)
  導入 Anti-DDoS 清洗服務，能在攻擊流量進入伺服器前過濾掉惡意流量，例如 Skycloud 三層清洗（L3/L4/L7）或其他雲端防護服務。

• Anycast + CDN 分散流量
  使用全球 CDN 與 Anycast 技術，將流量分散到多個節點，降低單點壓力。攻擊流量在邊緣就能被吸收或攔截，避免集中衝擊源站。

• 速率限制 (Rate Limiting)
  在防火牆或負載平衡器上設定單一 IP 的流量上限，避免單一來源流量過高。對非必要的 UDP 流量進行限速或封鎖。

　防禦 memcached DDoS 攻擊的核心在於 源頭防護 + 雲端清洗 + 流量分散。在伺服器端，應 關閉 UDP、限制存取、更新版本；在網路端，應 部署 Anti-DDoS、CDN、Anycast、速率限制。只有多層次的防禦架構，才能有效抵擋這類 放大倍數極高、破壞力驚人 的攻擊。