关于memcache漏洞爆发预警通报 |
尊敬的客户,您好! 本次爆发的漏洞为memcache作为DRDOS反射放大器 攻击使用memcached协议来自UDP端口11211实施IP欺骗的攻击者向一台易受攻击的UDP服务器发送伪造的请求。 导致贵司服务器被入侵、网络瘫痪,对外部网络进行攻击行为等。 memcache的用户建议将服务放置于可信域内,有外网时不要监听0.0.0.0,有特殊需求可以设置acl或者添加安全组。为预防机器扫描和ssrf等攻击,可以将memcache的监听端口随机改为其他的。鼓励用户升级到最新版本的memcache,并且使用SASL设置密码来进行权限控制。网络管理员应确保监控和防御来自UDP端口11211的入站流量。打击攻击源:互联网服务提供商不应该允许在他们的网络上执行IP欺骗。IP欺骗DRDOS的根本原因。具体措施可以参考BCP38。ISP(互联网服务提供商) 应允许他们的客户使用BGP flowspec来限制入站UDP11211的流量,以减轻大型DRDOS攻击期间的拥塞。开发人员不应该在没有仔细考虑UDP放大问题的情况下,推出自己的UDP协议。
|