关注获取即时动态漏洞安全公告 | 利用Memcached服务器进行DDOS反射放大攻击
2018-03-05 14:00:14 来源:蓝队云 阅读量:12934尊敬的用户:
您好!
接上级部门通知:近日,利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。国家计算机网络应急技术处理协调中心(CNCERT)监测发现,memcached反射攻击自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,3月1日凌晨2点30分左右峰值流量高达1.94Tbps。随着memcached反射攻击方式被黑客了解和掌握,预测近期将出现更多该类攻击事件。据CNCERT抽样监测结果,广东省内开放memcached服务的服务器IP地址居全国首位,存在发起反射DDoS攻击的严重安全隐患。
一、memcached反射攻击基本原理
memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包(stats、set/get指令),使memcached服务器向受害者IP地址反射返回比原始数据包大数倍的数据(理论最高可达5万倍,通过持续跟踪观察攻击流量平均放大倍数在100倍左右),从而进行反射攻击。
二、近期我国境内memcached反射攻击流量趋势
3月1日凌晨2点30分左右memcached反射攻击峰值流量高达到1.94Tbps,其中2时至3时、7时、9时、15时、20时、23时的攻击流量均超过500Gbps。
三、开放memcached服务的服务器分布情况
CNCERT抽样监测发现开放memcached服务的服务器IP地址7.21万个,其中境内5.32万个、境外1.89万个。其中,境内开放memcached服务的服务器分布情况如下表所示:
| 境内开放memcached服务的服务器IP数量 | 服务器IP所属省份 |
|---|---|
| 7109 | 广东 |
| 6781 | 浙江 |
| 4737 | 河南 |
| 4417 | 北京 |
| 4335 | 山东 |
| 3130 | 湖南 |
| 2473 | 江苏 |
| 1986 | 河北 |
| 1821 | 上海 |
| 1512 | 四川 |
| 1410 | 陕西 |
| 1346 | 辽宁 |
| 1316 | 内蒙古 |
| 1173 | 江西 |
| 1165 | 吉林 |
| 1012 | 福建 |
| 840 | 黑龙江 |
| 817 | 山西 |
| 768 | 安徽 |
| 5139 | 其他省份 |
当下正值全国两会召开时期,我司高度重视并已做好相应的应急处置工作。
我司处置办法如下:
1)昆明机房:我司已在核心交换机上配置了防火墙策略,默认拒绝所有TCP及UDP 目的端口为11211的外网入站通讯及机房内部跨网段访问。
2)其他机房:已在所有云主机虚拟交换机上配置了防火墙策略,同上。
如因我司防火墙策略影响了您当前memcached 服务器的正常访问,请您按照以下指导变更memcached端口为11211 以外端口或联系我司24H技术值班处理,我们将竭诚为您提供24小时不间断技术支持服务,感谢您一直以来的理解和支持。
技术支持热线:
24小时技术支持电话:4006-123-512
24小时值班QQ : 4001-544-001
蓝队云
2018-03-05
