漏洞描述

近日，利用Memcache作為放大器進(jìn)行放大的DDoS攻擊，引發(fā)廣泛關(guān)注。其利用memcached協(xié)議，發(fā)送大量帶有被害者IP地址的UDP數(shù)據(jù)包給放大主機(jī)，然后放大主機(jī)對偽造的IP地址源做出大量回應(yīng)，從而形成DRDoS（分布式反射拒絕服務(wù)）攻擊。

關(guān)于DDoS反射攻擊：

攻擊者，偽造被攻擊目標(biāo)IP，發(fā)送海量偽造請求到反射服務(wù)器。

反射服務(wù)器，需要滿足2個條件，第一，上面運(yùn)行存在漏洞名的UDP協(xié)議服務(wù)，能夠滿足特定條件下，響應(yīng)包遠(yuǎn)遠(yuǎn)大于請求包。第二，該協(xié)議或服務(wù)在互聯(lián)網(wǎng)上有一定的使用量，如DNS，NTP等基礎(chǔ)服務(wù)。

關(guān)于Memcache反射：

由于Memcache同時監(jiān)聽TCP和UDP，滿足反射DDoS條件。

Memcache作為企業(yè)應(yīng)用組建，具有較高外發(fā)帶寬。

Memcache不需要認(rèn)證即可進(jìn)行交互。

很多用戶在編譯安裝時，將服務(wù)錯誤監(jiān)聽在0.0.0.0，且未進(jìn)行安全策略配置。

漏洞影響

對外開放的Memcache服務(wù)

漏洞等級

高危

影響分析

修復(fù)建議

1、Memcache的用戶建議：
在不使用UDP的情況下禁用UDP支持，在memcached啟動時，您可以指定–listen 127.0.0.1僅偵聽本地主機(jī)并-U 0完全禁用UDP。
將服務(wù)放置于內(nèi)部網(wǎng)絡(luò)內(nèi)，確實(shí)有外網(wǎng)訪問需求設(shè)置ACL。
2、ISP服務(wù)商基于網(wǎng)絡(luò)針對UDP協(xié)議的11211端口進(jìn)行速率限制。