漏洞描述
近日,利用Memcache作为放大器进行放大的DDoS攻击,引发广泛关注。其利用memcached协议,发送大量带有被害者IP地址的UDP数据包给放大主机,然后放大主机对伪造的IP地址源做出大量回应,从而形成DRDoS(分布式反射拒绝服务)攻击。
关于DDoS反射攻击:
攻击者,伪造被攻击目标IP,发送海量伪造请求到反射服务器。
反射服务器,需要满足2个条件,第一,上面运行存在漏洞名的UDP协议服务,能够满足特定条件下,响应包远远大于请求包。第二,该协议或服务在互联网上有一定的使用量,如DNS,NTP等基础服务。
关于Memcache反射:
由于Memcache同时监听TCP和UDP,满足反射DDoS条件。
Memcache作为企业应用组建,具有较高外发带宽。
Memcache不需要认证即可进行交互。
很多用户在编译安装时,将服务错误监听在0.0.0.0,且未进行安全策略配置。
漏洞影响
对外开放的Memcache服务
漏洞等级
高危
影响分析
修复建议
1、Memcache的用户建议:
在不使用UDP的情况下禁用UDP支持,在memcached启动时,您可以指定–listen 127.0.0.1仅侦听本地主机并-U 0完全禁用UDP。
将服务放置于内部网络内,确实有外网访问需求设置ACL。
2、ISP服务商基于网络针对UDP协议的11211端口进行速率限制。
原创文章,作者:3628473679,如若转载,请注明出处:https://blog.ytso.com/tech/courses/248896.html