尊敬的用戶(hù):
您好!
接上級部門(mén)通知:近日,利用memcached服務(wù)器實(shí)施反射DDOS攻擊的事件呈大幅上升趨勢。國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心(CNCERT)監測發(fā)現,memcached反射攻擊自2月21日開(kāi)始在我國境內活躍,3月1日的攻擊流量已超過(guò)傳統反射攻擊SSDP和NTP的攻擊流量,3月1日凌晨2點(diǎn)30分左右峰值流量高達1.94Tbps。隨著(zhù)memcached反射攻擊方式被黑客了解和掌握,預測近期將出現更多該類(lèi)攻擊事件。據CNCERT抽樣監測結果,廣東省內開(kāi)放memcached服務(wù)的服務(wù)器IP地址居全國首位,存在發(fā)起反射DDoS攻擊的嚴重安全隱患。
memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量memcached服務(wù)器(一種分布式緩存系統)存在的認證和設計缺陷,攻擊者通過(guò)向memcached服務(wù)器IP地址的默認端口11211發(fā)送偽造受害者IP地址的特定指令UDP數據包(stats、set/get指令),使memcached服務(wù)器向受害者IP地址反射返回比原始數據包大數倍的數據(理論最高可達5萬(wàn)倍,通過(guò)持續跟蹤觀(guān)察攻擊流量平均放大倍數在100倍左右),從而進(jìn)行反射攻擊。
3月1日凌晨2點(diǎn)30分左右memcached反射攻擊峰值流量高達到1.94Tbps,其中2時(shí)至3時(shí)、7時(shí)、9時(shí)、15時(shí)、20時(shí)、23時(shí)的攻擊流量均超過(guò)500Gbps。
CNCERT抽樣監測發(fā)現開(kāi)放memcached服務(wù)的服務(wù)器IP地址7.21萬(wàn)個(gè),其中境內5.32萬(wàn)個(gè)、境外1.89萬(wàn)個(gè)。其中,境內開(kāi)放memcached服務(wù)的服務(wù)器分布情況如下表所示:
境內開(kāi)放memcached服務(wù)的服務(wù)器IP數量 | 服務(wù)器IP所屬省份 |
---|---|
7109 | 廣東 |
6781 | 浙江 |
4737 | 河南 |
4417 | 北京 |
4335 | 山東 |
3130 | 湖南 |
2473 | 江蘇 |
1986 | 河北 |
1821 | 上海 |
1512 | 四川 |
1410 | 陜西 |
1346 | 遼寧 |
1316 | 內蒙古 |
1173 | 江西 |
1165 | 吉林 |
1012 | 福建 |
840 | 黑龍江 |
817 | 山西 |
768 | 安徽 |
5139 | 其他省份 |
當下正值全國兩會(huì )召開(kāi)時(shí)期,我司高度重視并已做好相應的應急處置工作。
我司處置辦法如下:
1)昆明機房:我司已在核心交換機上配置了防火墻策略,默認拒絕所有TCP及UDP 目的端口為11211的外網(wǎng)入站通訊及機房?jì)炔靠缇W(wǎng)段訪(fǎng)問(wèn)。
2)其他機房:已在所有云主機虛擬交換機上配置了防火墻策略,同上。
如因我司防火墻策略影響了您當前memcached 服務(wù)器的正常訪(fǎng)問(wèn),請您按照以下指導變更memcached端口為11211 以外端口或聯(lián)系我司24H技術(shù)值班處理,我們將竭誠為您提供24小時(shí)不間斷技術(shù)支持服務(wù),感謝您一直以來(lái)的理解和支持。
技術(shù)支持熱線(xiàn):
24小時(shí)技術(shù)支持電話(huà):4006-123-512
24小時(shí)值班QQ : 4001-544-001
藍隊云
2018-03-05
售前咨詢(xún)
售后咨詢(xún)
備案咨詢(xún)
二維碼
TOP