memcached安全漏洞-反射型DDoS攻击


Memcached 服务器可发动反射型DDoS 攻击:攻击者通过暴露的 Memcachedd 服务器发起反射型 DDoS 攻击。 攻击者将请求发送至11211端口上的 Memcached 服务器。由于未正确实现 UDP 协议,Memcached 服务器并未以类似或较小的数据包予以响应,有时甚至以比初始请求大上数千倍的数据包予以响应。攻击者并不直接攻击目标服务 IP,而是利用互联网的某些特殊服务开放的服务器,通过伪造被攻击者的 IP 地址、向有开放服务的服务器发送构造的请求报文,该服务器会将数倍于请求报文的回复数据发送到被攻击 IP,从而对后者间接形成 DDoS 攻击。由于 Memcached 服务器采用的是 UDP 协议,其数据包的源 IP 地址能被轻易欺骗,这就意味着攻击者可以诱骗 Memcached 服务器将过大的响应包发送给另一个 IP 地址,也就是 DDoS 攻击受害者的 IP 地址。响应包放大的倍数即是 DDoS 攻击的“放大倍数”。基于 Memcached 反射型 DDoS 攻击,其放大倍数最高可达51200。最近一起 DDoS 攻击中,攻击者发送了15字节的数据包,Memcached 服务器以750KB的数据包予以响应。 放大倍数可能会有所不同,这取决于攻击者是否有能力发送恶意请求,欺骗 Memcached 服务器以更大的数据包予以响应。除了 UDP 协议,其它协议和技术也能被滥用发动反射型 DDoS 攻击,例如 DNS、TFTP、LDAP、CLDAP、SNMP 和 BitTorrent。

近日,利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。
国家计算机网络应急技术处理协调中心(CNCERT)监测发现,memcached反射攻击自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,3月1日凌晨2点30分左右峰值流量高达1.94Tbps。
随着memcached反射攻击方式被黑客了解和掌握,预测近期将出现更多该类攻击事件。
据CNCERT抽样监测结果,广东省内开放memcached服务的服务器IP地址居全国首位,存在发起反射DDoS攻击的严重安全隐患。当下正值全国两会召开时期,我中心建议全省各相关主管部门高度重视并做好应急处置工作。
处置建议:
1)在memcached服务器或者其上联的网络设备上配置防火墙策略,仅允许授权的业务IP地址访问memcached服务器,拦截非法的非法访问。
2)更改memcached服务的监听端口为11211之外的其他大端口,避免针对默认端口的恶意利用。
3)升级到最新的memcached软件版本,配置启用SASL认证等权限控制策略(在编译安装memcached程序时添加-enable-sasl选项,并且在启动memcached服务程序时添加-S参数,启用SASL认证机制以提升memcached的安全性)。
4)建议基础电信企业、云服务商及IDC服务商在骨干网、城域网和IDC出入口对源端口或目的端口为11211的UDP流量进行限速、限流和阻断,对被利用发起memcached反射攻击的用户IP进行通报和处置。
5)建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源(例如NTP服务器和SSDP主机)开展摸排,对此类反射攻击事件进行预防处置
 

关闭
18988993509

020-82315523