[漏洞预警]利用Memcached 服务器实施反射DDos攻击情况报告

Posted 2021-05-02 迪普科技

近日，利用Memcached 服务器实施反射DDoS攻击的时间呈大幅上升趋势。针对这一情况，CNCERT（国家互联网应急中心）第一时间开展跟踪分析，监测发现Memcached 反射攻击自2月21日开始在我国境内活跃，3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量，3月1日凌晨2点30分左右峰值流量高达1.94Tbps。随着Memcached 反射攻击方式被黑客了解和掌握，预测近期将会出现更多该类攻击事件。

那么这种反射DDoS攻击是如何实现，又该如何防御呢？今天小编就带大家好好了解一下Memcached DDoS 攻击。

反射攻击背景情报

Memcached 反射攻击基本原理

近期我国境内Memcached 反射攻击流量趋势

3月1日凌晨2点30分左右，Memcached 反射攻击峰值流量最高达到1.94Tbps，其中2时至3时、7时、9时、15时、20时、23时的攻击流量均超过500Gbps

开放Memcached 服务的服务器分布情况

迪普科技解决方案

关于近期Memcached DDoS 公司，我司给出的解决方案如下：

1

请首先确认内网是否有存在 Memcached 服务器，本次攻击属于服务器漏洞，而非我司设备漏洞

② 客户内网不存在 Memcached 服务器时，可以在出入口设备针对源端口为 11211 的 UDP 流量进行限速、限流

方式一：配置企业网出口设备上配置入方向端口限速，具体大小视客户实际接口流量而定。

【基本】->【Qos策略】->【端口限速】

方式二：结合UAG设备配置带宽限速或者结合 Guard 板卡进行流量清洗。

方式三：UDP 防护限速，该策略针对所有 UDP 报文，因此限速的阈值也需要根据客户现网流量配置，尽量稍大一下，一般是正常时的 2.5 倍左右（不推荐）

2

运营商网络针对源端口或目的端口为 11211 的 UDP 流量进行限速、限流。（方式方法同上）

3

从服务器角度考虑，可采取如下方式彻底解决该问题。

① 建议更改 Memcached 服务的监听端口为 11211 之外的其他大端口，避免针对默认端口的恶意利用。

② 升级到最新的 Memcached 软件版本，配置启用 SASL 认证等权限控制策略（在编译安装 Memcached 程序时添加 -enable-sasl 选项，并且在启动 memcached 服务程序时添加 -S 参数、启用 SASL 认证机制以提升 Memcached 的安全性）

400-6100-598，进一步了解漏洞相关情况。

迪普科技

让网络更简单，智能，安全