尊敬的用戶：

       接上級部門通知：近日，利用memcached服務器實施反射DDOS攻擊的事件呈大幅上升趨勢。國家計算機網絡應急技術處理協調中心（CNCERT）監測發現，memcached反射攻擊自2月21日開始在我國境內活躍，3月1日的攻擊流量已超過傳統反射攻擊SSDP和NTP的攻擊流量，2018年03月01日凌晨2點30分左右峰值流量高達1.94Tbps。隨著memcached反射攻擊方式被黑客了解和掌握，預測近期將出現更多該類攻擊事件。據CNCERT抽樣監測結果，廣東省內開放memcached服務的服務器IP地址居全國首位，存在發起反射DDoS攻擊的嚴重安全隱患。

當下正值全國兩會召開時期，請高度重視并做好應急處置工作。

處置建議：

     1）在memcached服務器或者其上聯的網絡設備上配置防火墻策略，僅允許授權的業務IP地址訪問memcached服務器，攔截非法的非法訪問。

     2）更改memcached服務的監聽端口為11211之外的其他大端口，避免針對默認端口的惡意利用。

     3）升級到最新的memcached軟件版本，配置啟用SASL認證等權限控制策略（在編譯安裝memcached程序時添加-enable-sasl選項，并且在啟動memcached服務程序時添加-S參數，啟用SASL認證機制以提升memcached的安全性）。

     4）建議相關單位對其他可能被利用發動大規模反射攻擊的服務器資源（例如NTP服務器和SSDP主機）開展摸排，對此類反射攻擊事件進行預防處置。

修復方案

因為Memcached沒有權限控制功能，所以需要對訪問來源進行限制。

Memcached服務加固方案

1. 定期升級，使用官方最新版本Memcached

2. 綁定監聽IP
   

3. 如果Memcached沒有在公網開放的必要，可在Memcached啟動時指定綁定的IP地址為 127.0.0.1。例如，在Linux環境中運行以下命令：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

4. 使用最小化權限賬號運行Memcached服務
   使用普通權限賬號運行，指定Memcached用戶。例如，在Linux環境中運行以下命令來運行Memcached：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

5. 啟用認證功能

   Memcached本身沒有做驗證訪問模塊,Memcached從1.4.3版本開始，能支持SASL認證。SASL認證詳細配置手冊

6. 修改默認端口
   修改默認11211監聽端口為11222端口。在Linux環境中運行以下命令：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11222 -c 1024 -P /tmp/memcached.pid

   Memcached命令參數說明

• -d 是指啟動一個守護進程。

• -m 是指分配給Memcached使用的內存數量，單位是MB，以上為1024MB。

• -u 是指運行Memcached的用戶，推薦使用單獨普通權限用戶Memcached，而不要使用root權限賬戶。

• -l 是指監聽的服務器IP地址，例如指定服務器的IP地址為127.0.0.1。

• -p 是用來設置Memcached的監聽端口，默認端口為11211。建議設置1024以上的端口。

• -c 是指最大運行的并發連接數，默認是1024?？砂凑漳掌鞯呢撦d量來設定。

• -P 是指設置保存Memcached的pid文件，例如保存在 /tmp/memcached.pid 位置。

7. 備份數據。
   為避免數據丟失，升級前請做好備份，或進行快照服務或將重要數據進行定期數據備份異地災備。關于異地重要數據備份服務可聯系億人互聯客戶經理。

天津市億人科技發展有限公司

網絡安全部

2018.03.03