[安全通知] 关于Memcached UDP拒绝服务放大攻击安全预警通知

Posted 2021-05-02 360网站管家

目前监测到互联网上存在大量利用Memcached UDP端口实施DDoS放大攻击的案例，攻击者可利用该存在风险的Memcached服务器实施大规模的流量攻击，从而导致网站无法正常提供服务。
       为避免您的业务受影响，建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

【漏洞详情】
   该类攻击主要使用Memcached协议的UDP端口开展攻击，攻击者通过向开启了UDP协议支持的Memcached服务器上发送伪造的IP欺骗请求，Memcached服务器会将大量的响应报文发往目标攻击主机，从而占用目标攻击机器的大量带宽资源，导致拒绝服务。

【风险等级】
   高风险

【漏洞风险】
   拒绝服务攻击

【修复建议】
1）如果您使用到了Memcached服务，请务必禁用UDP支持，Memcached启动时，建议添加“-U 0”参数可完全禁用UDP（默认情况下，Memcached会侦听INADDR_ANY，并默认启用UDP）细节可参考官方说明文档：https://github.com/memcached/memcached/wiki/ConfiguringServer#udp
2）建议开启安全组防火墙，确保Memcached服务器与互联网之间无法通过UDP来访问，配置可参考如下图：
2.1 如果您是使用云服务器，比如腾讯云，进入腾讯云控制台，打开安全组配置界面，操作如下：
 
2.2 修改或添加安全组策略，策略配置参考如下（规则作用：禁止外部入向的11211端口UDP流量）：
 

3）若您的Memcached服务必须使用到UDP，建议始终以较小的数据包来响应，否则可能导致协议会被滥用进行放大攻击；

【验证方法】
修复完毕后，您可以在服务器上运行下面的命令来测试服务器是否易受攻击或修复措施是否生效：

• $ echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u 127.0.0.1 11211

• STAT pid 21357

• STAT uptime 41557034

• STAT time 1519734962

• ...
  

查看返回内容，若返回内容非空（如上图所示），则表明你的服务器可能在受影响之列。



【漏洞参考】
1）Cloudflare通告：https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
2）Akamai博客：https://blogs.akamai.com/2018/02/memcached-udp-reflection-attacks.html






==========管家推荐==============



服务器实战运维/疑难杂症排查/环境配置搭建实战/源码调试实战Win/linux版全程视频教程+一对一技术支持
http://bbs.360wzgj.com/thread-581-1-1.html
(出处: 360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程)



服务器管家系统-利用自己的闲置服务器,vsp赚钱,开虚拟主机,做个人IDC业务
http://bbs.360wzgj.com/thread-791-1-1.html
(出处: 360°网站管家_运维学院_提供最新最全的服务器运维视频教程与网站维护视频教程)