关于Memcache 服务器可被利用进行大规模DDOS攻击的漏洞预警通知

来源： 发布时间：2017-09-11

尊敬的用户：

您好！

近日，我们监测到一种利用Memcache进行放大的DDoS攻击， 为保障您的业务及服务器安全，请您参考以下方案修复漏洞：

一、漏洞介绍：

利用memcached协议，发送大量带有被害者IP地址的UDP数据包给放大器主机，然后放大器主机对伪造的IP地址源做出大量回应，形成分布式拒绝服务攻击。

二、漏洞类型

漏洞风险等级高，影响广泛，在外开放的memcache存储系统

二、攻击流程：

扫描全网端口服务。

进行指纹识别，获取未认证的Memcache。

过滤所有可以反射的UDP Memcache。

插入数据状态进行反射。

三、缓解措施

3.1对于Memcache使用者

memcache的用户建议将服务放置于可信域内，有外网时不要监听 0.0.0.0，有特殊需求可以设置acl或者添加安全组。

为预防机器器扫描和ssrf等攻击，修改memcache默认监听端口。

升级到最新版本的memcache，并且使用SASL设置密码来进行权限控制。

3.2对于网络层防御

我司网络负责人员已经对UDP11211进行限速。

打击攻击源：互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。

ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量，以减轻大型DRDoS攻击时的拥堵。