分散式高速緩存系統Memcache 存在高危安全漏洞

據國家網路與信息安全信息通報中心監測發現，分散式高速緩存系統Memcache存在高危安全漏洞，攻擊者可利用該漏洞實施分散式反射拒絕服務（DRDoS）攻擊。惡意攻擊者向網路伺服器發送大量偽造源IP地址的UDP協議數據包，這些源IP地址即為被攻擊目標地址。伺服器根據Memcache協議內容向源IP地址回復大量數據內容，從而造成被攻擊目標網路擁堵進而無法對外提供服務。目前可被利用的伺服器主要集中在雲計算、虛擬專用服務等領域。

Memcached是什麼？

Memcached 是一個高性能的分散式內存對象緩存系統，用於動態Web應用以減輕資料庫負載。它通過在內存中緩存數據和對象來減少讀取資料庫的次數，從而提高動態、資料庫驅動網站的速度。

Memcached 是 LiveJournal 旗下 Danga Interactive 公司開發的一款軟體。現在已成為 mixi、hatena、Facebook、Vox、LiveJournal、GitHub 等眾多服務中提高 Web 應用擴展性的重要因素。許多Web 應用都將數據保存到 RDBMS（關係資料庫管理系統）中，應用伺服器從中讀取數據並在瀏覽器中顯示。但隨著數據量的不斷增大，會出現 RDBMS 負擔加重，資料庫響應惡化、網站顯示延遲等影響。這時Memcached 能通過緩存資料庫查詢結果，減少資料庫訪問次數，提高動態Web 應用的速度、提高可擴展性。

Memcached 伺服器可發動反射型DDoS 攻擊

攻擊者通過暴露的 Memcached 伺服器發起反射型 DDoS 攻擊。 攻擊者將請求發送至11211埠上的 Memcached 伺服器。由於未正確實現 UDP 協議，Memcached 伺服器並未以類似或較小的數據包予以響應，有時甚至以比初始請求大上數千倍的數據包予以響應。

反射型 DDoS 攻擊

攻擊者並不直接攻擊目標服務 IP，而是利用互聯網的某些特殊服務開放的伺服器，通過偽造被攻擊者的 IP 地址、向有開放服務的伺服器發送構造的請求報文，該伺服器會將數倍於請求報文的回複數據發送到被攻擊 IP，從而對後者間接形成 DDoS 攻擊。

由於 Memcached 伺服器採用的是 UDP 協議，其數據包的源 IP 地址能被輕易欺騙，這就意味著攻擊者可以誘騙 Memcached 伺服器將過大的響應包發送給另一個 IP 地址，也就是 DDoS 攻擊受害者的 IP 地址。響應包放大的倍數即是 DDoS 攻擊的「放大倍數」。

超大倍數反射型 DDoS 攻擊

Cloudflare公司表示，對於基於 Memcached 反射型 DDoS 攻擊，其放大倍數最高可達51200。最近一起 DDoS 攻擊中，攻擊者發送了15位元組的數據包，Memcached 伺服器以750KB的數據包予以響應。 放大倍數可能會有所不同，這取決於攻擊者是否有能力發送惡意請求，欺騙 Memcached 伺服器以更大的數據包予以響應。

Cloudflare 還指出，其觀察到的最大反射型 DDoS 攻擊（基於Memcached）峰值達到260 Gbps，吞吐量為23Mpps（每秒數百萬個數據包）。Cloudflare工程師馬雷克·閔可夫斯基表示，大多數 Memcached 響應包為1400位元組。

51200的放大倍數相當巨大。除了 UDP 協議，其它協議和技術也能被濫用發動反射型 DDoS 攻擊，例如 DNS、TFTP、LDAP、CLDAP、SNMP 和 BitTorrent。

反射型 DDoS 攻擊的放大倍數通常介於2-10之間，最大的範圍介於50-100倍之間。很少看到放大倍數超過100的反射型 DDoS 攻擊，而在這起攻擊案例中，放大倍數卻高得匪夷所思。

9.3萬台Memcached伺服器暴露

如果 Memcached 不是熱門的網頁緩存解決方案，問題不算大。截至2018年2月27日，暴露在互聯網上的 Memcached 伺服器超過9.3萬台，中國暴露了接近2.5萬台。2015年，互聯網上的 Memcached 伺服器為13.4萬台。

針對上述情況，建議採取以下措施：

一、修改Memcache服務默認監聽埠；

二、禁止監聽0.0.0.0網路地址；

三、將Memcache升級至最新版；

四、添加安全組並進行許可權控制。

請各單位、各部門開展網路安全風險隱患排查和安全加固工作，提高安全防範能力；完善事件應急處置預案，加強安全監測和值班值守，發現網站系統遭攻擊後及時處置並報告。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！