关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

如何有效的防御利用Memcached服务器实施反射DDoS攻击

发布时间:2018-03-07 12:03:52

如何有效的防御利用Memcached服务器实施反射DDoS攻击

     近段时间,利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。针对这一情况,网络安全中心第一时间开展跟踪分析,监测发现memcached反射攻击自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,3月1日凌晨2点30分左右峰值流量高达1.94Tbps。随着memcached反射攻击方式被黑客了解和掌握,预测近期将出现更多该类攻击事件。

      针对memcached出现的DDOS攻击事情,金牛云服的相关技术,特总结了攻击原理及处理方式,希望对大家有所帮助。

       一、memcached反射攻击基本原理

       memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包(stats、set/get指令),使memcached服务器向受害者IP地址反射返回比原始数据包大数倍的数据(理论最高可达5万倍,通过持续跟踪观察攻击流量平均放大倍数在100倍左右),从而进行反射攻击。

       二、近期我国境内memcached反射攻击流量趋势


       

       3月1日凌晨2点30分左右memcached反射攻击峰值流量高达到1.94Tbps,其中2时至3时、7时、9时、15时、20时、23时的攻击流量均超过500Gbps。

       三、开放memcached服务的服务器分布情况

       我们抽样监测发现开放memcached服务的服务器IP地址7.21万个,其中境内5.32万个、境外1.89万个。其中,境内开放memcached服务的服务器分布情况如下表所示:

       境内开放memcached服务的服务器IP数量 服务器IP所属省份 7109 广东 6781 浙江 4737 河南 4417 北京 4335 山东 3130 湖南 2473 江苏 1986 河北 1821 上海 1512 四川 1410 陕西 1346 辽宁 1316 内蒙古 1173 江西 1165 吉林 1012 福建 840 黑龙江 817 山西 768 安徽 5139 其他省份 

       四、处置建议

       1、建议主管部门、安全机构和基础电信企业推动境内memcached服务器的处置工作,特别是近期被利用发动DDoS攻击的memcached服务器:

1)在memcached服务器或者其上联的网络设备上配置防火墙策略,仅允许授权的业务IP地址访问memcached服务器,拦截非法的非法访问。

2)更改memcached服务的监听端口为11211之外的其他大端口,避免针对默认端口的恶意利用。

3)升级到最新的memcached软件版本,配置启用SASL认证等权限控制策略(在编译安装memcached程序时添加-enable-sasl选项,并且在启动memcached服务程序时添加-S参数,启用SASL认证机制以提升memcached的安全性)。

       2、建议基础电信企业、云服务商及IDC服务商在骨干网、城域网和IDC出入口对源端口或目的端口为11211的UDP流量进行限速、限流和阻断,对被利用发起memcached反射攻击的用户IP进行通报和处置。

       3、建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源(例如NTP服务器和SSDP主机)开展摸排,对此类反射攻击事件进行预防处置。

       金牛云服也将密切监测和关注memcached反射攻击的发展演变情况,并进行持续通报,如有客户因受到此类攻击困扰而无法解决的,可随时联系我们安全专家处理。金牛云(深圳)数据科技有限公司,简称:金牛云服,是国内领先的云计算信息技术网络服务商,为深圳本地中小企业及国内广大中小企业提供各方面的网络应用服务,包括:国内外服务器租用服务器托管,机柜租用,带宽,专线接入,云虚拟主机,云服务器,域名注册,SSL证书,CDN加速,网络安全,安全等保测评,DDOS/CC攻击防御及各种混合云,私有云的解决方案。


/template/Home/Zkeys/PC/Static