关于利用memcached服务器实施反射DDoS攻击的情况通报
Posted 江西互联网应急中心
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于利用memcached服务器实施反射DDoS攻击的情况通报相关的知识,希望对你有一定的参考价值。
近日,利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。针对这一情况,CNCERT第一时间开展跟踪分析,监测发现memcached反射攻击自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,3月1日凌晨2点30分左右峰值流量高达1.94Tbps。随着memcached反射攻击方式被黑客了解和掌握,预测近期将出现更多该类攻击事件。现将有关情况通报如下:
一、memcached反射攻击基本原理
二、近期我国境内memcached反射攻击流量趋势
3月1日凌晨2点30分左右memcached反射攻击峰值流量高达到1.94Tbps,其中2时至3时、7时、9时、15时、20时、23时的攻击流量均超过500Gbps。
三、开放memcached服务的服务器分布情况
| 境内开放memcached服务的服务器IP数量 | 服务器IP所属省份 |
| 7109 | 广东 |
| 6781 | 浙江 |
| 4737 | 河南 |
| 4417 | 北京 |
| 4335 | 山东 |
| 3130 | 湖南 |
| 2473 | 江苏 |
| 1986 | 河北 |
| 1821 | 上海 |
| 1512 | 四川 |
| 1410 | 陕西 |
| 1346 | 辽宁 |
| 1316 | 内蒙古 |
| 1173 | 江西 |
| 1165 | 吉林 |
| 1012 | 福建 |
| 840 | 黑龙江 |
| 817 | 山西 |
| 768 | 安徽 |
| 5139 | 其他省份 |
四、处置建议
1、建议主管部门、安全机构和基础电信企业推动境内memcached服务器的处置工作,特别是近期被利用发动DDoS攻击的memcached服务器:
2)更改memcached服务的监听端口为11211之外的其他大端口,避免针对默认端口的恶意利用。
3)升级到最新的memcached软件版本,配置启用SASL认证等权限控制策略(在编译安装memcached程序时添加-enable-sasl选项,并且在启动memcached服务程序时添加-S参数,启用SASL认证机制以提升memcached的安全性)。
2、建议基础电信企业、云服务商及IDC服务商在骨干网、城域网和IDC出入口对源端口或目的端口为11211的UDP流量进行限速、限流和阻断,对被利用发起memcached反射攻击的用户IP进行通报和处置。
3、建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源(例如NTP服务器和SSDP主机)开展摸排,对此类反射攻击事件进行预防处置。
以上是关于关于利用memcached服务器实施反射DDoS攻击的情况通报的主要内容,如果未能解决你的问题,请参考以下文章
省互联网信息办关于“利用memcached服务器实施反射DDoS攻击”的预警提示
转载省互联网信息办关于“利用memcached服务器实施反射DDoS攻击”的预警提示
网络安全省互联网信息办关于“利用memcached服务器实施反射DDoS攻击”的预警提示
注意了!有人利用memcached服务漏洞实施反射DDOS攻击,如何防范看这里——