关于Memcached反射放大攻击的安全预警通知

近日，利用memcached服务器实施反射DDoS攻击的事件呈大幅上升趋势。 

memcached反射攻击利用了在互联网上暴露的大批量memcached服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向memcached服务器IP地址的默认UDP端口11211发送伪造的受害者IP欺骗请求，使memcached服务器向受害者IP地址返回比原始数据包大数倍的数据（理论最高可达5万倍，通过持续跟踪观察攻击流量平均放大倍数在100倍左右），从而占用目标服务器的大量带宽资源，达到DDoS的目的。

安全建议：

1、在memcached服务器或者其上联的网络设备上配置防火墙策略，仅允许授权的业务IP地址访问memcached服务器，拦截非法访问。

2、更改memcached服务的监听端口为11211之外的其他大端口，避免针对默认端口的恶意利用。

3、升级到最新的memcached软件版本，配置启用SASL认证等权限控制策略（在编译安装memcached程序时添加-enable-sasl选项，并且在启动memcached服务程序时添加-S参数，启用SASL认证机制以提升memcached的安全性）。

小鸟云

2018年3月5日