2018年3月1日�,業(yè)界爆發(fā)多起利用Memcached 服務(wù)器發(fā)動(dòng)大規(guī)模 DDoS (分布式拒絕服務(wù))攻擊,目前已知的攻擊峰值流量達(dá)1.35Tbps�����。攻擊者可發(fā)送大量帶有被害者IP地址的UDP數(shù)據(jù)包給Memcached服務(wù),從而導(dǎo)致Memcached主機(jī)對(duì)偽造的IP地址源作出大量回應(yīng)����,形成DDOS攻擊。
參考鏈接:
Cloudflare通告:https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
Akamai博客:https://blogs.akamai.com/2018/02/memcached-udp-reflection-attacks.html
影響范圍
使用了Memcached服務(wù)����,且對(duì)互聯(lián)網(wǎng)開(kāi)放了UDP端口(11211)����。
排查方法
首先確認(rèn)服務(wù)器是否安裝Memcached����,并開(kāi)啟了11211端口�����,若開(kāi)啟的話存在安全隱患�。
安全建議
禁用Memcached服務(wù)UDP端口��,具體方法為:Memcached啟動(dòng)時(shí)�����,添加“-U 0”參數(shù)可完全禁用UDP
(默認(rèn)情況下,Memcached會(huì)偵聽(tīng)I(yíng)NADDR_ANY����,并默認(rèn)啟用UDP)��。
設(shè)置安全組���,禁止Memcached服務(wù)端口開(kāi)放在互聯(lián)網(wǎng)�。
3. 臨時(shí)關(guān)閉Memcached服務(wù)或修改監(jiān)聽(tīng)端口。
