溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
本篇文章為大家展示了CNCERT中利用Memcached服務器實施反射DDoS攻擊的示例分析,內容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。
利用memcached服務器實施反射DDOS攻擊的事件呈大幅上升趨勢。針對這一情況,CNCERT第一時間開展跟蹤分析,監測發現memcached反射攻擊自2018年2月21日開始在我國境內活躍,3月1日的攻擊流量已超過傳統反射攻擊SSDP和NTP的攻擊流量,3月1日凌晨2點30分左右峰值流量高達1.94Tbps。隨著memcached反射攻擊方式被黑客了解和掌握,預測近期將出現更多該類攻擊事件。現將有關情況通報如下:
memcached反射攻擊利用了在互聯網上暴露的大批量memcached服務器(一種分布式緩存系統)存在的認證和設計缺陷,攻擊者通過向memcached服務器IP地址的默認端口11211發送偽造受害者IP地址的特定指令UDP數據包(stats、set/get指令),使memcached服務器向受害者IP地址反射返回比原始數據包大數倍的數據(理論最高可達5萬倍,通過持續跟蹤觀察攻擊流量平均放大倍數在100倍左右),從而進行反射攻擊。
3月1日凌晨2點30分左右memcached反射攻擊峰值流量高達到1.94Tbps,其中2時至3時、7時、9時、15時、20時、23時的攻擊流量均超過500Gbps。
CNCERT抽樣監測發現開放memcached服務的服務器IP地址7.21萬個,其中境內5.32萬個、境外1.89萬個。其中,境內開放memcached服務的服務器分布情況如下表所示:
| 境內開放memcached服務的服務器IP數量 | 服務器IP所屬省份 |
|---|---|
| 7109 | 廣東 |
| 6781 | 浙江 |
| 4737 | 河南 |
| 4417 | 北京 |
| 4335 | 山東 |
| 3130 | 湖南 |
| 2473 | 江蘇 |
| 1986 | 河北 |
| 1821 | 上海 |
| 1512 | 四川 |
| 1410 | 陜西 |
| 1346 | 遼寧 |
| 1316 | 內蒙古 |
| 1173 | 江西 |
| 1165 | 吉林 |
| 1012 | 福建 |
| 840 | 黑龍江 |
| 817 | 山西 |
| 768 | 安徽 |
| 5139 | 其他省份 |
1、建議主管部門、安全機構和基礎電信企業推動境內memcached服務器的處置工作,特別是近期被利用發動DDoS攻擊的memcached服務器:
1)在memcached服務器或者其上聯的網絡設備上配置防火墻策略,僅允許授權的業務IP地址訪問memcached服務器,攔截非法的非法訪問。
2)更改memcached服務的監聽端口為11211之外的其他大端口,避免針對默認端口的惡意利用。
3)升級到最新的memcached軟件版本,配置啟用SASL認證等權限控制策略(在編譯安裝memcached程序時添加-enable-sasl選項,并且在啟動memcached服務程序時添加-S參數,啟用SASL認證機制以提升memcached的安全性)。
2、建議基礎電信企業、云服務商及IDC服務商在骨干網、城域網和IDC出入口對源端口或目的端口為11211的UDP流量進行限速、限流和阻斷,對被利用發起memcached反射攻擊的用戶IP進行通報和處置。
3、建議相關單位對其他可能被利用發動大規模反射攻擊的服務器資源(例如NTP服務器和SSDP主機)開展摸排,對此類反射攻擊事件進行預防處置。
CNCERT將密切監測和關注memcached反射攻擊的發展演變情況,并進行持續通報。
上述內容就是CNCERT中利用Memcached服務器實施反射DDoS攻擊的示例分析,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關注億速云行業資訊頻道。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
