短短的五天时间内，安全性欠佳的memcached数据库服务器遭受两起破纪录的Tbps DDoS攻击，专家认为这两起太比特（Terabit）攻击所刷新的记录并不会保持太久。

3月1日，GitHub由于1.35Tb /秒（Tbps）的DDoS攻击而短暂脱机，这被美国马萨诸塞州剑桥市Akamai公司旗下应对DDoS攻击的子公司Prolexic Technologies确认并缓解，这打破了2016年基于Mirai的Dyn攻击所创下的最大规模DDoS攻击记录。几天后，Arbor Networks确认了攻击流量高达1.7Tbps的更大规模的Tbps DDoS攻击，它使用了相同的反射攻击技巧，只需要一行Python代码就可以侵入脆弱的memcached服务器，但没有服务中断的报道。

Synopsys公司首席科学家Sammy Migues表示，使用memcached服务器执行放大的DDoS攻击并没有什么难度，因为“memcached并未设计到公共互联网的环境。

“它起初是为了一个内部的良性环境而设计和实施的，所以它通常会在不需要验证的情况下响应请求，攻击者甚至不必完成入侵动作，” Migues在电子邮件中告诉TechTarget。 “除了这个漏洞之外，它在UDP（用户数据报协议）的实现上也是有缺陷的：当使用少量字节查询时，它往往会返回大量的字节——扩展可能高达请求的50,000倍，UDP是一种无连接协议，使得它易受伪装地址的欺骗——你可以从一个互联网地址发送数据包，但却假装成另一个地址。”

预防太比特DDoS攻击

Arbor Networks的销售工程和运营副总裁Carlos Morales就最新的太比特DDoS攻击中撰写博文，并向TechTarget指出，缓解攻击可以像过滤特定的UDP端口那样简单。

“Memcached反射/放大攻击原理相对比较简单，可以通过使用网络访问控制列表、速率限制、QoS策略过滤或源地址验证等任何组合加以缓解，如[因特网最佳实践84项（Ingress Filtering for Multihomed Networks）]中所述] ” Morales说。 “所有memcached流量都来自UDP端口11211，这并非一个普通的应用程序端口，因此在正常情况下的网络传输过程中，该端口很少或根本不存在合法的流量。”

但是，Juniper网络公司的网络安全策略师Nick Bilogorskiy指出，这些缓解技术必须在服务器端完成，终端受害者很难自行阻止太比特DDoS攻击。

“这类攻击当中，很难保护被DOS入侵的站点。攻击利用了你无法控制的第三方服务器，并以大量的数据流攻击你——比大多数托管基础架构所能承受的要多得多,” Bilogorskiy告诉 TechTarget。“大多数公司将针对DOS攻击的成本转嫁给了反DDOS提供商，但即使是这些服务商，也很难承受住这样的流量。”

太比特DDoS攻击只是一个开始

专家普遍认为，超过2Tbps的DDoS攻击并不遥远，Imperva的高级产品经理Ofer Gayer认为，“在未来18到24个月内，我们会看到3Tbps的DDoS攻击”。

Nexusguard产品总监Donny Chong提出：“2Tbps规模的攻击足以打击区域级别的互联网骨干网与互联网服务提供商，取决于攻击的分布情况以及数据源的位置”。

“假如主要互联网服务（如我们在Dyn DNS案例中所看到的）成为攻击目标，那么可以预见到，大多数互联网服务都会受到影响,” Chong告诉TechTarget。“随着全球互联网带宽的不断增加，更多的内容会经由互联网传送，攻击的规模也将随之增加，DDoS将继续存在，而且新服务中的漏洞永远存在，攻击纪录会被不断刷新。企业现在不得不考虑其瓶颈所在，即基础架构内设备的可扩展性，尤其是代价高昂且难以扩展的企业内部DDoS缓解设备。”

Bilogorskiy在评论GitHub遭遇1.35 Terabit DDoS攻击时说, “依据报道，中断时间并不算长”。

“GitHub停止了大约10分钟。我认为他们的反应非常快，同时也很幸运。因为这些攻击可能，在未来也一定会变得更为强大。现在每个人都在争先恐后地扩充容量，以为防范DDoS攻击做好准备,” Bilogorskiy说。“我坚持认为道高一尺，魔高一丈——DDoS的增长速度会超过了防御技术的发展，我们将会看到更多的业务中断。memcached比以前DDoS的影响扩大了百倍以上，所以假设这种趋势成立的话，我们会看到新的协议被滥用于反射攻击，造成更加严重的影响。