Memcached DDoS攻擊已出現緩解對策

要說這幾天最火的網路攻擊，莫過於Memcached DDoS放大攻擊。不過面對如此強烈的攻擊，Memcached伺服器開發人員也並不是毫無對策。

今天安全公司Corero就發布消息稱，Memcached伺服器的開發人員——Dormando就發現了一個緩解技術，即向被攻擊的伺服器發送一個「flush_all」命令。

還有另外一種方法就是，如果你公司受到memcached的攻擊，那麼通過發送「shutdown r
」命令，就可以讓被攻擊的伺服器停止攻擊，因為源代碼不會被欺騙。但是在循環中運行「flush_all r
」將會阻止放大倍數。Corero公司同時宣布以將該緩解技術整合到其DDoS緩解解決方案中，且效果非常好，且沒有任何附帶的危害。

那些遭受Memcached伺服器DDoS攻擊的公司以及志在緩解DDoS的公司，理論上都可以創建執行Dormando推薦的兩個「shutdown」和「flush_all」命令的腳本。這些命令可關閉攻擊伺服器，或清除導致DDoS攻擊的放大效應的任何惡意數據包的緩存。

Memcached v1.5.6修復了DDoS攻擊向量

2月27日，Memcached 1.5.6就被發布，這是一個漏洞修復版本。同時，由於被曝出有攻擊者通過設置memcached的最大值，欺騙UDP數據包發起請求，利用Memcached發送的大量龐大的UDP響應數據包進行一些攻擊行為，所以該版本已默認禁用UDP協議，並要求用戶在部署Memcached伺服器時明確啟用UDP支持。

易受攻擊的Memcached伺服器數量以明顯下降

據Rapid7報道，互聯網上開放的埠號為11211的Memcached伺服器已從3月1日的18000降至3月5日的12000以下。

Memcached DDoS放大攻擊還可以竊取數據

但研究人員發現，利用Memcached發起超大的DDoS並不是伺服器所有者目前必須處理的唯一問題。Corero的研究人員發現，任何可用於DDoS攻擊的暴露的Memcached伺服器也可能被誘騙共享它從本地網路或主機緩存的用戶數據。由於Memcached伺服器不需要身份驗證，因此添加到易受攻擊伺服器的任何內容都可能被盜用，攻擊者還可以修改數據並將其重新插入緩存中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！