• <cite id="us9d6"></cite>
  • <tt id="us9d6"><noscript id="us9d6"></noscript></tt>
  • <cite id="us9d6"></cite>

      <cite id="us9d6"><span id="us9d6"></span></cite>
    1. <cite id="us9d6"></cite>

    2. <tt id="us9d6"><span id="us9d6"></span></tt><rp id="us9d6"></rp><s id="us9d6"><div id="us9d6"></div></s>
    3. 當前位置: 首頁 >> 信息安全 >> 正文

      關于利用memcached服務器實施反射DDoS攻擊的情況通報

      2018年03月05日 17:09  點擊:[]

            近日,利用memcached服務器實施反射DDOS攻擊的事件呈大幅上升趨勢。針對這一情況,CNCERT第一時間開展跟蹤分析,監測發現memcached反射攻擊自2月21日開始在我國境內活躍,3月1日的攻擊流量已超過傳統反射攻擊SSDP和NTP的攻擊流量,3月1日凌晨2點30分左右峰值流量高達1.94Tbps。隨著memcached反射攻擊方式被黑客了解和掌握,預測近期將出現更多該類攻擊事件?,F將有關情況通報如下:

      一、memcached反射攻擊基本原理

             memcached反射攻擊利用了在互聯網上暴露的大批量memcached服務器(一種分布式緩存系統)存在的認證和設計缺陷,攻擊者通過向memcached服務器IP地址的默認端口11211發送偽造受害者IP地址的特定指令UDP數據包(stats、set/get指令),使memcached服務器向受害者IP地址反射返回比原始數據包大數倍的數據(理論最高可達5萬倍,通過持續跟蹤觀察攻擊流量平均放大倍數在100倍左右),從而進行反射攻擊。

      二、近期我國境內memcached反射攻擊流量趨勢

             3月1日凌晨2點30分左右memcached反射攻擊峰值流量高達到1.94Tbps,其中2時至3時、7時、9時、15時、20時、23時的攻擊流量均超過500Gbps。

      三、開放memcached服務的服務器分布情況

             CNCERT抽樣監測發現開放memcached服務的服務器IP地址7.21萬個,其中境內5.32萬個、境外1.89萬個。其中,境內開放memcached服務的服務器分布情況如下表所示:

       

      境內開放memcached服務的服務器IP數量 服務器IP所屬省份
      7109 廣東
      6781 浙江
      4737 河南
      4417 北京
      4335 山東
      3130 湖南
      2473 江蘇
      1986 河北
      1821 上海
      1512 四川
      1410 陜西
      1346 遼寧
      1316 內蒙古
      1173 江西
      1165 吉林
      1012 福建
      840 黑龍江
      817 山西
      768 安徽
      5139 其他省份

       

      四、處置建議

         1、建議主管部門、安全機構和基礎電信企業推動境內memcached服務器的處置工作,特別是近期被利用發動DDoS攻擊的memcached服務器:

             1)在memcached服務器或者其上聯的網絡設備上配置防火墻策略,僅允許授權的業務IP地址訪問memcached服務器,攔截非法的非法訪問。

             2)更改memcached服務的監聽端口為11211之外的其他大端口,避免針對默認端口的惡意利用。

             3)升級到最新的memcached軟件版本,配置啟用SASL認證等權限控制策略(在編譯安裝memcached程序時添加-enable-sasl選項,并且在啟動memcached服務程序時添加-S參數,啟用SASL認證機制以提升memcached的安全性)。

         2、建議基礎電信企業、云服務商及IDC服務商在骨干網、城域網和IDC出入口對源端口或目的端口為11211的UDP流量進行限速、限流和阻斷,對被利用發起memcached反射攻擊的用戶IP進行通報和處置。

         3、建議相關單位對其他可能被利用發動大規模反射攻擊的服務器資源(例如NTP服務器和SSDP主機)開展摸排,對此類反射攻擊事件進行預防處置。

             CNCERT將密切監測和關注memcached反射攻擊的發展演變情況,并進行持續通報。如需技術支援,請聯系 CNCERT。電子郵箱: cncert@cert.org.cn,聯系電話: 010-82990999。

      上一條:關于Memcached服務器反射攻擊的情況通報(第2期) 下一條:關于PHP GD Graphics Library存在拒絕服務漏洞的安全公告

      成长AV影片免费观看网站,大香伊蕉99大香伊蕉免费视频,大香伊蕉在人线国产AV_日韩