關于利用memcached服務器實施反射DDoS攻擊的情況通報

近日，利用memcached服務器實施反射DDOS攻擊的事件呈大幅上升趨勢。針對這一情況，CNCERT第一時間開展跟蹤分析，監測發現memcached反射攻擊自2月21日開始在我國境內活躍，3月1日的攻擊流量已超過傳統反射攻擊SSDP和NTP的攻擊流量，3月1日凌晨2點30分左右峰值流量高達1.94Tbps。隨著memcached反射攻擊方式被黑客了解和掌握，預測近期將出現更多該類攻擊事件。現將有關情況通報如下： 一、memcached反射攻擊基本原理 memcached反射攻擊利用了在互聯網上暴露的大批量memcached服務器（一種分布式緩存系統）存在的認證和設計缺陷，攻擊者通過向memcached服務器IP地址的默認端口11211發送偽造受害者IP地址的特定指令UDP數據包（stats、set/get指令），使memcached服務器向受害者IP地址反射返回比原始數據包大數倍的數據（理論最高可達5萬倍，通過持續跟蹤觀察攻擊流量平均放大倍數在100倍左右），從而進行反射攻擊。 二、近期我國境內memcached反射攻擊流量趨勢  

3月1日凌晨2點30分左右memcached反射攻擊峰值流量高達到1.94Tbps，其中2時至3時、7時、9時、15時、20時、23時的攻擊流量均超過500Gbps。 三、開放memcached服務的服務器分布情況 CNCERT抽樣監測發現開放memcached服務的服務器IP地址7.21萬個，其中境內5.32萬個、境外1.89萬個。其中，境內開放memcached服務的服務器分布情況如下表所示：

四、處置建議 1、建議主管部門、安全機構和基礎電信企業推動境內memcached服務器的處置工作，特別是近期被利用發動DDoS攻擊的memcached服務器： 1）在memcached服務器或者其上聯的網絡設備上配置防火墻策略，僅允許授權的業務IP地址訪問memcached服務器，攔截非法的非法訪問。 2）更改memcached服務的監聽端口為11211之外的其他大端口，避免針對默認端口的惡意利用。 3）升級到最新的memcached軟件版本，配置啟用SASL認證等權限控制策略（在編譯安裝memcached程序時添加-enable-sasl選項，并且在啟動memcached服務程序時添加-S參數，啟用SASL認證機制以提升memcached的安全性）。 2、建議基礎電信企業、云服務商及IDC服務商在骨干網、城域網和IDC出入口對源端口或目的端口為11211的UDP流量進行限速、限流和阻斷，對被利用發起memcached反射攻擊的用戶IP進行通報和處置。 3、建議相關單位對其他可能被利用發動大規模反射攻擊的服務器資源（例如NTP服務器和SSDP主機）開展摸排，對此類反射攻擊事件進行預防處置。 來源：國家互聯網應急中心