2018年3月1日,业界爆发多起利用Memcached 服务器发动大规模 DDoS (分布式拒绝服务)攻击,目前已知的攻击峰值流量达1.35Tbps。攻击者可发送大量带有被害者IP地址的UDP数据包给Memcached服务,从而导致Memcached主机对伪造的IP地址源作出大量回应,形成DDOS攻击。
参考链接:
Cloudflare通告:https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
Akamai博客:https://blogs.akamai.com/2018/02/memcached-udp-reflection-attacks.html
影响范围
使用了Memcached服务,且对互联网开放了UDP端口(11211)。
排查方法
首先确认服务器是否安装Memcached,并开启了11211端口,若开启的话存在安全隐患。
安全建议
禁用Memcached服务UDP端口,具体方法为:Memcached启动时,添加“-U 0”参数可完全禁用UDP
(默认情况下,Memcached会侦听INADDR_ANY,并默认启用UDP)。
设置安全组,禁止Memcached服务端口开放在互联网。
3. 临时关闭Memcached服务或修改监听端口。
