memcached安全漏洞-反射型DDoS攻击

大乐透周易 www.1rimw.cn
Memcached 服务器可发动反射型DDoS 攻击:攻击者通过暴露的 Memcachedd 服务器发起反射型 DDoS 攻击。 攻击者将请求发送至11211端口上的 Memcached 服务器。由于未正确实现 UDP 协议,Memcached 服务器并未以类似或较小的数据包予以响应,有时甚至以比初始请求大上数千倍的数据包予以响应。攻击者并不直接攻击目标服务 IP,而是利用互联网的某些特殊服务开放的服务器,通过伪造被攻击者的 IP 地址、向有开放服务的服务器发送构造的请求报文,该服务器会将数倍于请求报文的回复数据发送到被攻击 IP,从而对后者间接形成 DDoS 攻击。由于 Memcached 服务器采用的是 UDP 协议,其数据包的源 IP 地址能被轻易欺骗,这就意味着攻击者可以诱骗 Memcached 服务器将过大的响应包发送给另一个 IP 地址,也就是 DDoS 攻击受害者的 IP 地址。响应包放大的倍数即是 DDoS 攻击的“放大倍数”?;? Memcached 反射型 DDoS 攻击,其放大倍数最高可达51200。最近一起 DDoS 攻击中,攻击者发送了15字节的数据包,Memcached 服务器以750KB的数据包予以响应。 放大倍数可能会有所不同,这取决于攻击者是否有能力发送恶意请求,欺骗 Memcached 服务器以更大的数据包予以响应。除了 UDP 协议,其它协议和技术也能被滥用发动反射型 DDoS 攻击,例如 DNS、TFTP、LDAP、CLDAP、SNMP 和 BitTorrent。

近日,利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。
国家计算机网络应急技术处理协调中心(CNCERT)监测发现,memcached反射攻击自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,3月1日凌晨2点30分左右峰值流量高达1.94Tbps。
随着memcached反射攻击方式被黑客了解和掌握,预测近期将出现更多该类攻击事件。
据CNCERT抽样监测结果,广东省内开放memcached服务的服务器IP地址居全国首位,存在发起反射DDoS攻击的严重安全隐患。当下正值全国两会召开时期,我中心建议全省各相关主管部门高度重视并做好应急处置工作。
处置建议:
1)在memcached服务器或者其上联的网络设备上配置防火墙策略,仅允许授权的业务IP地址访问memcached服务器,拦截非法的非法访问。
2)更改memcached服务的监听端口为11211之外的其他大端口,避免针对默认端口的恶意利用。
3)升级到最新的memcached软件版本,配置启用SASL认证等权限控制策略(在编译安装memcached程序时添加-enable-sasl选项,并且在启动memcached服务程序时添加-S参数,启用SASL认证机制以提升memcached的安全性)。
4)建议基础电信企业、云服务商及IDC服务商在骨干网、城域网和IDC出入口对源端口或目的端口为11211的UDP流量进行限速、限流和阻断,对被利用发起memcached反射攻击的用户IP进行通报和处置。
5)建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源(例如NTP服务器和SSDP主机)开展摸排,对此类反射攻击事件进行预防处置
 

关闭
18988993509

020-82315523

511| 735| 506| 307| 367| 949| 146| 520| 334| 500|