14
利用memcached服务器实施反射DDOS攻击的事件

尊敬的用户:

       接上级部门通知:近日,利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。国家计算机网络应急技术处理协调中心(CNCERT)监测发现,memcached反射攻击自2月21日开始在我国境内活跃,3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量,2018年03月01日凌晨2点30分左右峰值流量高达1.94Tbps。随着memcached反射攻击方式被黑客了解和掌握,预测近期将出现更多该类攻击事件。据CNCERT抽样监测结果,广东省内开放memcached服务的服务器IP地址居全国首位,存在发起反射DDoS攻击的严重安全隐患。

当下正值全国两会召开时期,请高度重视并做好应急处置工作。


处置建议:

     1)在memcached服务器或者其上联的网络设备上配置防火墙策略,仅允许授权的业务IP地址访问memcached服务器,拦截非法的非法访问。

     2)更改memcached服务的监听端口为11211之外的其他大端口,避免针对默认端口的恶意利用。

     3)升级到最新的memcached软件版本,配置启用SASL认证等权限控制策略(在编译安装memcached程序时添加-enable-sasl选项,并且在启动memcached服务程序时添加-S参数,启用SASL认证机制以提升memcached的安全性)。

     4)建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源(例如NTP服务器和SSDP主机)开展摸排,对此类反射攻击事件进行预防处置。


修复方案

因为Memcached没有权限控制功能,所以需要对访问来源进行限制。


Memcached服务加固方案

  1. 定期升级,使用官方最新版本Memcached

  2. 绑定监听IP

  3. 如果Memcached没有在公网开放的必要,可在Memcached启动时指定绑定的IP地址为 127.0.0.1。例如,在Linux环境中运行以下命令:
    memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

  4. 使用最小化权限账号运行Memcached服务
    使用普通权限账号运行,指定Memcached用户。例如,在Linux环境中运行以下命令来运行Memcached:
    memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

  5. 启用认证功能

    Memcached本身没有做验证访问模块,Memcached从1.4.3版本开始,能支持SASL认证。SASL认证详细配置手册

  6. 修改默认端口
    修改默认11211监听端口为11222端口。在Linux环境中运行以下命令:
    memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11222 -c 1024 -P /tmp/memcached.pid

    Memcached命令参数说明

    • -d 是指启动一个守护进程。

    • -m 是指分配给Memcached使用的内存数量,单位是MB,以上为1024MB。

    • -u 是指运行Memcached的用户,推荐使用单独普通权限用户Memcached,而不要使用root权限账户。

    • -l 是指监听的服务器IP地址,例如指定服务器的IP地址为127.0.0.1。

    • -p 是用来设置Memcached的监听端口,默认端口为11211。建议设置1024以上的端口。

    • -c 是指最大运行的并发连接数,默认是1024。可按照您服务器的负载量来设定。

    • -P 是指设置保存Memcached的pid文件,例如保存在 /tmp/memcached.pid 位置。

  7. 备份数据。
    为避免数据丢失,升级前请做好备份,或进行快照服务或将重要数据进行定期数据备份异地灾备。关于异地重要数据备份服务可联系旋乐吧手机客户端互联客户经理。




天津市旋乐吧手机客户端科技发展有限公司

网络安全部

2018.03.03

这条帮助是否解决了您的问题? 已解决 未解决

提交成功!非常感谢您的反馈,旋乐吧手机客户端会继续努力做到更好! 很抱歉未能解决您的疑问。旋乐吧手机客户端已收到您的反馈意见,同时会及时作出反馈处理!