關于利用memcached服務器實施反射DDoS攻擊的情況通報
發布時間:2018-03-05近日,利用memcached服務器實施反射DDOS攻擊的事件呈大幅上升趨勢。針對這一情況,CNCERT第一時間開展跟蹤分析,監測發現memcached反射攻擊自2月21日開始在我國境內活躍,3月1日的攻擊流量已超過傳統反射攻擊SSDP和NTP的攻擊流量,3月1日凌晨2點30分左右峰值流量高達1.94Tbps。隨著memcached反射攻擊方式被黑客了解和掌握,預測近期將出現更多該類攻擊事件。現將有關情況通報如下:
一、memcached反射攻擊基本原理
memcached反射攻擊利用了在互聯網上暴露的大批量memcached服務器(一種分布式緩存系統)存在的認證和設計缺陷,攻擊者通過向memcached服務器IP地址的默認端口11211發送偽造受害者IP地址的特定指令UDP數據包(stats、set/get指令),使memcached服務器向受害者IP地址反射返回比原始數據包大數倍的數據(理論最高可達5萬倍,通過持續跟蹤觀察攻擊流量平均放大倍數在100倍左右),從而進行反射攻擊。
二、近期我國境內memcached反射攻擊流量趨勢
3月1日凌晨2點30分左右memcached反射攻擊峰值流量高達到1.94Tbps,其中2時至3時、7時、9時、15時、20時、23時的攻擊流量均超過500Gbps。
三、開放memcached服務的服務器分布情況
CNCERT抽樣監測發現開放memcached服務的服務器IP地址7.21萬個,其中境內5.32萬個、境外1.89萬個。其中,境內開放memcached服務的服務器分布情況如下表所示:
四、處置建議
1、建議主管部門、安全機構和基礎電信企業推動境內memcached服務器的處置工作,特別是近期被利用發動DDoS攻擊的memcached服務器:
1)在memcached服務器或者其上聯的網絡設備上配置防火墻策略,僅允許授權的業務IP地址訪問memcached服務器,攔截非法的非法訪問。
2)更改memcached服務的監聽端口為11211之外的其他大端口,避免針對默認端口的惡意利用。
3)升級到最新的memcached軟件版本,配置啟用SASL認證等權限控制策略(在編譯安裝memcached程序時添加-enable-sasl選項,并且在啟動memcached服務程序時添加-S參數,啟用SASL認證機制以提升memcached的安全性)。
2、建議基礎電信企業、云服務商及IDC服務商在骨干網、城域網和IDC出入口對源端口或目的端口為11211的UDP流量進行限速、限流和阻斷,對被利用發起memcached反射攻擊的用戶IP進行通報和處置。
3、建議相關單位對其他可能被利用發動大規模反射攻擊的服務器資源(例如NTP服務器和SSDP主機)開展摸排,對此類反射攻擊事件進行預防處置。
CNCERT將密切監測和關注memcached反射攻擊的發展演變情況,并進行持續通報。如需技術支援,請聯系 CNCERT。電子郵箱: cncert@cert.org.cn,聯系電話: 010-82990999。
