< 返回上层

漏洞安全公告 | 利用Memcached服务器进行DDOS反射放大攻击

2018-03-05 14:00:14 3412次

尊敬的用户:

    您好!

    接上级部门通知:近日,利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。国家计算机网络应急技术处理协调中心(CNCERT)监测发现,memcached反射攻击自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,3月1日凌晨2点30分左右峰值流量高达1.94Tbps。随着memcached反射攻击方式被黑客了解和掌握,预测近期将出现更多该类攻击事件。据CNCERT抽样监测结果,广东省内开放memcached服务的服务器IP地址居全国首位,存在发起反射DDoS攻击的严重安全隐患。

一、memcached反射攻击基本原理

memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包(stats、set/get指令),使memcached服务器向受害者IP地址反射返回比原始数据包大数倍的数据(理论最高可达5万倍,通过持续跟踪观察攻击流量平均放大倍数在100倍左右),从而进行反射攻击。

二、近期我国境内memcached反射攻击流量趋势

 

memcached.png

3月1日凌晨2点30分左右memcached反射攻击峰值流量高达到1.94Tbps,其中2时至3时、7时、9时、15时、20时、23时的攻击流量均超过500Gbps。

三、开放memcached服务的服务器分布情况

CNCERT抽样监测发现开放memcached服务的服务器IP地址7.21万个,其中境内5.32万个、境外1.89万个。其中,境内开放memcached服务的服务器分布情况如下表所示: 

境内开放memcached服务的服务器IP数量服务器IP所属省份
7109广东
6781浙江
4737河南
4417北京
4335山东
3130湖南
2473江苏
1986河北
1821上海
1512四川
1410陕西
1346辽宁
1316内蒙古
1173江西
1165吉林
1012福建
840黑龙江
817山西
768安徽
5139其他省份

当下正值全国两会召开时期,我司高度重视并已做好相应的应急处置工作。

我司处置办法如下:

     1)昆明机房:我司已在核心交换机上配置了防火墙策略,默认拒绝所有TCP及UDP 目的端口为11211的外网入站通讯及机房内部跨网段访问。

     2)其他机房:已在所有云主机虚拟交换机上配置了防火墙策略,同上。

如因我司防火墙策略影响了您当前memcached 服务器的正常访问,请您按照以下指导变更memcached端口为11211 以外端口或联系我司24H技术值班处理,我们将竭诚为您提供24小时不间断技术支持服务,感谢您一直以来的理解和支持。

Memcached 端口11211 未授权漏洞防范

技术支持热线:

    24小时技术支持电话:4006-123-512

    24小时值班QQ :         4001-544-001

蓝队云

2018-03-05