未然预警 | Memcached被滥用于DRDoS攻击

Posted 2021-05-02 未然实验室

Memcached是一款开源、高性能、分布式的内存对象缓存系统，可以应用在各种需要缓存的场景，主要目的是通过缓存数据库查询结果，减少数据库访问次数，以提高动态Web应用的速度和可扩展性。

近日业界发生了多起滥用Memcached服务进行分布式反射拒绝服务攻击（DRDoS，Distributed Reflection Denial ofService Attack）的事件，据称已检测到的攻击强度最高已达到了1.3Tbps：

何为DRDoS攻击？

DRDoS是分布式反射拒绝服务的简称，在此种攻击过程中，攻击者选择响应包远大于请求包的服务来利用，用较小的流量换取更大的流量，从而获得几百倍甚至数千倍的放大效果。

目前，用于发动DRDoS攻击的服务主要有DNS、CLDAP、SSDP、NTP等基于UDP协议通信的服务，原因是UDP通信不像TCP通信那样需要三次握手，可以对被伪造来源的IP直接发起攻击，形成反射效果。

在利用Memcached发起的DRDoS攻击过程中，攻击者将Memcached服务器作为放大器，伪造来源IP向Memcached服务器发送特定的UDP报文，Memcached服务器会向目标IP（被伪造来源的IP）返回比原始请求大几百倍甚至数千倍的响应包，即请求的响应被反射到攻击目标上，从而达到对特定目标进行DDoS攻击的目的。

攻击影响

Memcached应用非常广泛，但由于管理员安全意识薄弱，很多Memcached服务被不恰当地映射到公网。通过网络空间设备搜索引擎，可以在公网检测到超过十万台左右的Memcached服务器。

由于Memcached放大系数最大能达到5万倍，攻击者可以利用它来发动高强度的DDoS攻击，因此被媒体称为“核弹级”DDoS攻击。

另外，不光 被反弹的目标会受到攻击影响，用于反弹和放大的Memcached服务器将占用较高的上行带宽，因此其所在的网络服务也会受到较大影响。

安全建议

未然实验室安全专家建议：

• 如不需要，请关闭Memcached服务监听的UDP 11211端口

• 为Memcached 启用SASL认证

• 目前Memcached官方已经发布了1.5.6版本，默认关掉了UDP端口，请用户升级到最新版本

参考：

- https://www.bleepingcomputer.com/news/security/new-ddos-record-set-at-13-tbps-thanks-to-memcached-servers/

- https://www.leiphone.com/news/201803/SpZOX8s8sq39miIe.html