尊敬的用户: 您好! 近日,我们监测到一种利用Memcache进行放大的DDoS攻击, 为保障您的业务及服务器安全,请您参考以下方案修复漏洞: 一、漏洞介绍: 利用memcached协议,发送大量带有被害者IP地址的UDP数据包给放大?主机,然后放大?主机对伪造的IP地址源做出大?回应,形成分布式拒绝服务攻击。 二、漏洞类型 漏洞风险等级高,影响广泛,在外开放的memcache存储系统 二、攻击流程: 扫描全网端口服务。 进行指纹识别,获取未认证的Memcache。 过滤所有可以反射的UDP Memcache。 插入数据状态进行反射。 三、缓解措施 3.1对于Memcache使用者 memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组。 为预防机器?扫描和ssrf等攻击,修改memcache默认监听端口。 升级到最新版本的memcache,并且使用SASL设置密码来进行权限控制。 3.2对于网络层防御 我司网络负责人员已经对UDP11211进行限速。 打击攻击源:互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。 ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。 |