【预警通告】Memcached DRDos攻击预警

一方面由于Memcached 主要作为缓存中间件,缺乏访问控制,另一方面也由于在编译安装时配置了不安全监听IP(如0.0.0.0),若Memcached服务暴露于互联网上且未设置iptables访问控制,攻击者则可轻易利用上述条件发起分布式拒绝服务放大攻击。

一、预警概述

Memcached是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。提高Web应用的响应速度,Memcached服务器通过开放11211端口供客户端进行访问,然而,一方面由于Memcached 主要作为缓存中间件,缺乏访问控制,另一方面也由于在编译安装时配置了不安全监听IP(如0.0.0.0),若Memcached服务暴露于互联网上且未设置iptables访问控制,攻击者则可轻易利用上述条件发起分布式拒绝服务放大攻击。

根据绿盟威胁情报中心NTI数据显示,全球有10万多的Memcached服务器在互联网上开放,给予了攻击者极大的便利,请相关企业重点关注近期的DDos攻击事件,为保障您的业务安全稳定运行,也请关注绿盟科技最新通告信息,我们会对此事件持续关注,提供相关产品和服务解决方案。

二、防护建议

DRDoS是英文“Distributed Reflection Denial of Service ”的缩写,中文意思是“分布式反射拒绝服务”。与DoS、DDoS不同,该方式靠的是发送大量带有被害者IP地址的数据包给攻击主机,然后攻击主机对IP地址源做出大量回应,形成拒绝服务攻击。

针对利用Memcached服务发起的DRDos攻击,绿盟科技建议从如下两个方面进行防护。

2.1 整体防护建议

针对不同网络节点,绿盟科技建议:

  1. 针对发起反射攻击的僵尸网络,由于触发的源IP为反射攻击的目标IP,在路由器段设置urpf策略,能够过滤虚假源IP的报文,在发起端过滤触发反射攻击的报文;
  2. 在memcached服务器前端,可通过深度检测过滤异常报文,防止memcached服务器成为反射器;;
  3. 在客户服务器前端,在网络边界处通过过滤UDP且源端口为11211的报文或者对UDP源端口进行限速的两种方法,保护服务器前端过滤反射攻击的报文;

2.2 Memcached服务器加固

为避免相关企业所运行的Memcached服务被攻击者利用为反射端,建议对Memcached服务进行安全检查和加固。若Memcached服务不需要监听UDP,可在做好数据备份的前提下,对Memcached服务添加“-U 0”重启禁用UDP(默认情况下,Memcached会侦听INADDR_ANY,并默认启用UDP)。详情可参考Memcached官方说明文档:https://github.com/memcached/memcached/wiki/ConfiguringServer#udp

2.3 防护Memcached DRDos攻击

利用Memcached可以相对容易发起超大流量DDoS攻击,防御Memcached攻击需要储备足够的带宽。企业用户可在网络边界出封禁UDP源端口为11211的报文进行临时防护。

如果遇到大流量反射攻击,建议通过流量清洗设备(如ADS—绿盟抗拒绝服务系统)或者云清洗服务的方式进行防护,可直接询问:010-68438880-8669。同样,通过运营商进行封堵端口或者限速的方式也可以解决DRDos攻击。

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。 

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

 

 



发表评论