省互联网信息办关于“利用memcached服务器实施反射DDoS攻击”的预警提示

　　近日发现，利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势，权威机构监测发现此类攻击自2018年2月21日开始在我国境内活跃。

　　Memcached是一个分布式缓存系统，多用于云计算及虚拟化平台，利用高速缓存技术，提高用户访问速度。此次memcached反射攻击利用了在互联网上暴露的大批量memcached服务器存在的认证和设计缺陷。攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令数据包，使memcached服务器向受害者IP地址返回比原始数据包大数倍的数据（理论最高可达5万倍），因响应数据包较大，会造成网络拥堵，形成DDOS攻击。因此，部署Memcached服务并将11211端口开放至互联网的用户将有可能被黑客利用实施反射攻击。

　　省互联网信息办特提示各单位和广大计算机用户及时采取有效措施进行防控：

　　一、在memcached服务器或者其上联的网络设备上配置防火墙策略，仅允许授权的业务IP地址访问memcached服务器，拦截非法访问。

　　二、更改memcached服务的监听端口为11211之外的其他大端口，避免针对默认端口的恶意利用。

　　三、升级到最新的memcached软件版本，配置启用SASL认证等权限控制策略。

　　四、加强监测，重点加强Memcached服务端口的流量监测，及时发现并处置异常情况。

　　五、对其他可能被利用发动大规模反射攻击的服务器资源（例如NTP服务器）开展摸排，对此类反射攻击事件进行预防处置。

　　六、做好实时监测和应急处置，如发生网络安全事件应及时采取应急措施，并报省互联网信息办公室。

　　省互联网信息办公室联系方式：0451-58685734