Memcached反射放大DDoS攻擊威脅分析

2018年2月27日，多國CERT和多家網路和雲運營商報告稱，惡意攻擊者正在使用不安全配置的Memcached伺服器來借力放大DDoS攻擊。

根據報告，Memcached的帶寬放大因子（Bandwidth Amplification Factor）能達到10000-51000，遠超過之前廣泛使用的NTP協議的556.9，刷新了UDP協議反射放大DDoS攻擊的新記錄，測試顯示15byte的請求能觸發750KB的響應，即51200的放大倍數，Memcached對互聯網開放的無需驗證的UDP 11211埠為成為了主要利用的DDoS反射器， Memcached默認同時開放UDP和TCP 11211埠,很多服務商並未限制外部訪問該UDP埠。

網路上Memcached埠開放情況

全球分布

通過國外Shodan平台查詢，全球Memcache服務主要分布情況如下，包含TCP和UDP埠。可以看到美國和中國最多。

國內分布

通過安恆研究院sumap平台針對國內memcached服務udp埠受影響情況統計，國內「udp埠 11211 memcached」的分布情況如下：

可以看到實際數量並不多。

埠開放自查

可通過Nmap網路安全掃描工具掃描埠開放情況，驗證運行Memcached服務的IP資產是否開放UDP 11211埠，示例（Windows／Linux）：

nmap 127.0.0.1 -p 11211 -sU -sS --script memcached-info

可通過Netcat網路實用工具連接埠測試，驗證UDP 11211埠響應服務運行狀態，示例（Linux下）：

$ echo -en "x00x00x00x00x00x01x00x00stats
" | nc -q1 -u 127.0.0.1 11211

STAT pid 21357

STAT uptime 41557034

STAT time 1519734962

...

如果看到非空有內容輸出的響應（如上所示），表示Memcached伺服器容易受到攻擊，特別是暴露在互聯網上的主機。

Memcached安全配置建議

>>運行Memcached服務安全配置

建議埠不要監聽在0.0.0.0上，而是本地（localhost或127.0.0.1）或指定IP，並禁止UDP協議（參數-U設為0），示例：

memcached -p 11211 -l 127.0.0.1 -U 0

當然也可以更改監聽埠，具體配置參考：

https://github.com/memcached/memcached/wiki/ConfiguringServer#udp

也可以啟用SASL，1.4.3以上版本通過--enable-sasl編譯支持SASL，實現在連接上發出命令之前，要求先身份驗證。

SASL配置參考（建議啟用）：

https://github.com/memcached/memcached/wiki/SASLHowto

>>運行Memcached的操作系統安全策略配置

建議利用系統安全策略禁止外部訪問本機UDP 11211埠，Linux下可使用netfilter/iptables，Windows下可使用IP安全策略禁止，或是通過外圍安全設備阻止對該埠訪問。

同時建議網路運營商實施源地址驗證（BCP38/BCP84）標準，以防止其網路和最終用戶的網路受到反射/放大DDoS攻擊的影響。

相關信息來源：

https://www.us-cert.gov/ncas/alerts/TA14-017A

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

- END -

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！