尊敬的用戶(hù)：

    您好！

    接上級(jí)部門(mén)通知：近日，利用memcached服務(wù)器實(shí)施反射DDOS攻擊的事件呈大幅上升趨勢(shì)。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT）監(jiān)測(cè)發(fā)現(xiàn)，memcached反射攻擊自2月21日開(kāi)始在我國(guó)境內(nèi)活躍，3月1日的攻擊流量已超過(guò)傳統(tǒng)反射攻擊SSDP和NTP的攻擊流量，3月1日凌晨2點(diǎn)30分左右峰值流量高達(dá)1.94Tbps。隨著memcached反射攻擊方式被黑客了解和掌握，預(yù)測(cè)近期將出現(xiàn)更多該類(lèi)攻擊事件。據(jù)CNCERT抽樣監(jiān)測(cè)結(jié)果，廣東省內(nèi)開(kāi)放memcached服務(wù)的服務(wù)器IP地址居全國(guó)首位，存在發(fā)起反射DDoS攻擊的嚴(yán)重安全隱患。

一、memcached反射攻擊基本原理

memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量memcached服務(wù)器（一種分布式緩存系統(tǒng)）存在的認(rèn)證和設(shè)計(jì)缺陷，攻擊者通過(guò)向memcached服務(wù)器IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包（stats、set/get指令），使memcached服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)（理論最高可達(dá)5萬(wàn)倍，通過(guò)持續(xù)跟蹤觀察攻擊流量平均放大倍數(shù)在100倍左右），從而進(jìn)行反射攻擊。

二、近期我國(guó)境內(nèi)memcached反射攻擊流量趨勢(shì)

3月1日凌晨2點(diǎn)30分左右memcached反射攻擊峰值流量高達(dá)到1.94Tbps，其中2時(shí)至3時(shí)、7時(shí)、9時(shí)、15時(shí)、20時(shí)、23時(shí)的攻擊流量均超過(guò)500Gbps。

三、開(kāi)放memcached服務(wù)的服務(wù)器分布情況

CNCERT抽樣監(jiān)測(cè)發(fā)現(xiàn)開(kāi)放memcached服務(wù)的服務(wù)器IP地址7.21萬(wàn)個(gè)，其中境內(nèi)5.32萬(wàn)個(gè)、境外1.89萬(wàn)個(gè)。其中，境內(nèi)開(kāi)放memcached服務(wù)的服務(wù)器分布情況如下表所示： 

當(dāng)下正值全國(guó)兩會(huì)召開(kāi)時(shí)期，我司高度重視并已做好相應(yīng)的應(yīng)急處置工作。

我司處置辦法如下：

     1）昆明機(jī)房：我司已在核心交換機(jī)上配置了防火墻策略，默認(rèn)拒絕所有TCP及UDP 目的端口為11211的外網(wǎng)入站通訊及機(jī)房?jī)?nèi)部跨網(wǎng)段訪問(wèn)。

     2）其他機(jī)房：已在所有云主機(jī)虛擬交換機(jī)上配置了防火墻策略，同上。

如因我司防火墻策略影響了您當(dāng)前memcached 服務(wù)器的正常訪問(wèn)，請(qǐng)您按照以下指導(dǎo)變更memcached端口為11211 以外端口或聯(lián)系我司24H技術(shù)值班處理，我們將竭誠(chéng)為您提供24小時(shí)不間斷技術(shù)支持服務(wù)，感謝您一直以來(lái)的理解和支持。

Memcached 端口11211 未授權(quán)漏洞防范

技術(shù)支持熱線：

    24小時(shí)技術(shù)支持電話：4006-123-512

    24小時(shí)值班QQ :         4001-544-001

藍(lán)隊(duì)云

2018-03-05