Memcached DDoS反射攻击防御方法

简介

在2018年2月27日,Cloudflare 和 Arbor Networks 公司于周二发出警告称,恶意攻击者正在滥用 Memcached 协议发起分布式拒绝服务(DDoS)放大攻击,全球范围内许多服务器(包括 Arbor Networks 公司)受到影响。下图为监测到Memcached攻击态势。

Memcached DDoS反射攻击防御方法

美国东部时间28日下午,GitHub透露其可能遭受了有史最强的DDoS攻击,专家称攻击者采用了放大攻击的新方法Memcached反射攻击,可能会在未来发生更大规模的分布式拒绝服务(DDoS)攻击。对GitHub平台的第一次峰值流量攻击达到了1.35Tbps,随后又出现了另外一次400Gbps的峰值,这可能也将成为目前记录在案的最强DDoS攻击,此前这一数据为1.1Tbps。据CNCERT3月3日消息,监测发现Memcached反射攻击在北京时间3月1日凌晨2点30分左右峰值流量高达1.94Tbps。

Memcached 是一个高性能的分布式内存对象缓存系统,用于动态Web应用以减轻数据库负载。它通过在内存中缓存数据和对象来减少读取数据库的次数,从而提高动态、数据库驱动网站的速度。放大攻击针对使用UDP在公共网络上公开的Memcached部署。

为了缓解攻击,最好的选择是将Memcached绑定到本地接口,禁用UDP,并使用传统的网络安全方案保护您的服务器。在本教程中,我们将介绍如何执行此操作,以及如何将服务公开给外部客户端。

在Ubuntu和Debian服务器上保护Memcached

对于在Ubuntu或Debian服务器上运行的Memcached服务,您可以通过编辑/etc/memcached.conf文件调整服务参数,例如:

sudo nano /etc/memcached.conf

默认情况下,Ubuntu和Debian将Memcached绑定到本地127.0.0.1端口。受限制的安装127.0.0.1不容易受到来自网络的放大攻击。

. . .
-l 127.0.0.1
. . .

那么禁用UDP也是一个好主意,这更有可能被这种特殊攻击利用。要禁用UDP,请将以下内容添加到底部或文件中:

. . .
-U 0

完成后,保存并关闭文件。

重新启动Memcached服务以应用更改:

sudo service memcached restart

通过输入以下内容验证Memcached当前是否绑定到本地接口并仅侦听TCP:

sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
. . .
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      2383/memcached
. . .

您应该看到仅使用TCP memcached绑定到127.0.0.1

在CentOS和Fedora服务器上保护Memcached

对于在CentOS和Fedora服务器上运行的Memcached服务,您可以通过编辑/etc/sysconfig/memcached文件来调整服务参数,例如:

sudo vi /etc/sysconfig/memcached

我们希望绑定到本地网络接口,使用-l 127.0.0.1选项限制到同一台计算机上的客户端的流量。我们还将设置-U0禁用UDP协议。

OPTIONS变量中添加这两个参数:

PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS="-l 127.0.0.1 -U 0"

完成后保存并关闭文件。

要应用更改,请重新启动Memcached服务:

sudo service memcached restart

通过输入以下内容验证Memcached当前是否绑定到本地接口并仅侦听TCP:

sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
. . .
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      2383/memcached
. . .

您应该看到仅使用TCP memcached绑定到127.0.0.1

允许通过专用网络访问

上面的步骤告诉Memcached只能侦听本地接口。这可以通过不将Memcached接口暴露给外部各方来防止放大攻击。如果您需要允许从其他服务器访问,则必须调整配置。将Memcached绑定到专用网络端口。

使用防火墙限制IP访问

在执行此操作之前,最好设置防火墙规则可以连接到Memcached服务器的计算机。您需要知道您客户端的IP地址以方便配置防火墙规则。

如果您使用的是UFW防火墙,则可以通过输入以下内容来限制对Memcached实例的访问:

sudo ufw allow OpenSSH
sudo ufw allow from client_servers_private_IP/32 to any port 11211
sudo ufw enable

如果您使用的是Iptables,则可以通过输入以下内容来建立基本防火墙:

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp -s client_servers_private_IP/32 --dport 11211 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -P INPUT DROP

然后,您可以调整Memcached服务绑定到服务器的专用网络接口。

将Memcached绑定到专用网络接口

现在您的防火墙已就位,您可以调整Memcached配置以绑定到服务器的专用网络接口,而不是127.0.0.1

对于UbuntuDebian服务器,请再次打开/etc/memcached.conf文件:

sudo nano /etc/memcached.conf

在里面,找到该-l 127.0.0.1行并更改地址以匹配您服务器的专用网络接口:

. . .
-l memcached_servers_private_IP
. . .

完成后保存并关闭文件。

对于CentOSFedora服务器,请再次打开/etc/sysconfig/memcached文件:

sudo vi /etc/sysconfig/memcached

在里面,更改变量-l 127.0.0.1中的OPTIONS参数以引用Memcached服务器的私有IP:

. . .
OPTIONS="-l memcached_servers_private_IP -U 0"

完成后保存并关闭文件。

接下来,再次重新启动Memcached服务:

sudo service memcached restart

检查新设置netstat以确认更改:

sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
. . .
tcp        0      0 memcached_servers_private_IP:11211         0.0.0.0:*               LISTEN      2383/memcached
. . .

建议您最好还是检查来自未授权客户端的访问权限,以确保防火墙规则有效。

结论

Memcached放大攻击会严重影响网络运行状况和服务的稳定性。但是,通过运行服务器的安全设置,可以有效地减轻攻击。应用本教程中的更改后,最好继续监控您的服务,以确保维护正常的功能和连接。

应对逐步升级的DDoS攻击风险,我们还是建议配置百度云加速高防CDN,隐藏源站IP。用高防CDN充足的带宽资源应对可能的大流量攻击行为,并根据业务特点制定个性化的防护策略,被DDoS攻击时才能保证业务可用性,从容处理。在面对高等级DDoS威胁时,及时升级防护配置,必要时请求DDoS防护厂商的专家服务。

已赞1

发表评论

热线电话
淘宝官店
QQ客服
  • 176363189 点击这里给我发消息
旺旺客服
  • 速度网络服务商 点这里给我发消息
微信客服
  • wwwmai0net
回到顶部