尊敬的用戶(hù)：

    您好！

    接上級部門(mén)通知：近日，利用memcached服務(wù)器實(shí)施反射DDOS攻擊的事件呈大幅上升趨勢。國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心（CNCERT）監測發(fā)現，memcached反射攻擊自2月21日開(kāi)始在我國境內活躍，3月1日的攻擊流量已超過(guò)傳統反射攻擊SSDP和NTP的攻擊流量，3月1日凌晨2點(diǎn)30分左右峰值流量高達1.94Tbps。隨著(zhù)memcached反射攻擊方式被黑客了解和掌握，預測近期將出現更多該類(lèi)攻擊事件。據CNCERT抽樣監測結果，廣東省內開(kāi)放memcached服務(wù)的服務(wù)器IP地址居全國首位，存在發(fā)起反射DDoS攻擊的嚴重安全隱患。

一、memcached反射攻擊基本原理

memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量memcached服務(wù)器（一種分布式緩存系統）存在的認證和設計缺陷，攻擊者通過(guò)向memcached服務(wù)器IP地址的默認端口11211發(fā)送偽造受害者IP地址的特定指令UDP數據包（stats、set/get指令），使memcached服務(wù)器向受害者IP地址反射返回比原始數據包大數倍的數據（理論最高可達5萬(wàn)倍，通過(guò)持續跟蹤觀(guān)察攻擊流量平均放大倍數在100倍左右），從而進(jìn)行反射攻擊。

二、近期我國境內memcached反射攻擊流量趨勢

3月1日凌晨2點(diǎn)30分左右memcached反射攻擊峰值流量高達到1.94Tbps，其中2時(shí)至3時(shí)、7時(shí)、9時(shí)、15時(shí)、20時(shí)、23時(shí)的攻擊流量均超過(guò)500Gbps。

三、開(kāi)放memcached服務(wù)的服務(wù)器分布情況

CNCERT抽樣監測發(fā)現開(kāi)放memcached服務(wù)的服務(wù)器IP地址7.21萬(wàn)個(gè)，其中境內5.32萬(wàn)個(gè)、境外1.89萬(wàn)個(gè)。其中，境內開(kāi)放memcached服務(wù)的服務(wù)器分布情況如下表所示： 

當下正值全國兩會(huì )召開(kāi)時(shí)期，我司高度重視并已做好相應的應急處置工作。

我司處置辦法如下：

     1）昆明機房：我司已在核心交換機上配置了防火墻策略，默認拒絕所有TCP及UDP 目的端口為11211的外網(wǎng)入站通訊及機房?jì)炔靠缇W(wǎng)段訪(fǎng)問(wèn)。

     2）其他機房：已在所有云主機虛擬交換機上配置了防火墻策略，同上。

如因我司防火墻策略影響了您當前memcached 服務(wù)器的正常訪(fǎng)問(wèn)，請您按照以下指導變更memcached端口為11211 以外端口或聯(lián)系我司24H技術(shù)值班處理，我們將竭誠為您提供24小時(shí)不間斷技術(shù)支持服務(wù)，感謝您一直以來(lái)的理解和支持。

Memcached 端口11211 未授權漏洞防范

技術(shù)支持熱線(xiàn)：

    24小時(shí)技術(shù)支持電話(huà)：4006-123-512

    24小時(shí)值班QQ :         4001-544-001

藍隊云

2018-03-05