尊敬的用户：

       接上级部门通知：近日，利用memcached服务器实施反射DDOS攻击的事件呈大幅上升趋势。国家计算机网络应急技术处理协调中心（CNCERT）监测发现，memcached反射攻击自2月21日开始在我国境内活跃，3月1日的攻击流量已超过传统反射攻击SSDP和NTP的攻击流量，2018年03月01日凌晨2点30分左右峰值流量高达1.94Tbps。随着memcached反射攻击方式被黑客了解和掌握，预测近期将出现更多该类攻击事件。据CNCERT抽样监测结果，广东省内开放memcached服务的服务器IP地址居全国首位，存在发起反射DDoS攻击的严重安全隐患。

当下正值全国两会召开时期，请高度重视并做好应急处置工作。

处置建议：

     1）在memcached服务器或者其上联的网络设备上配置防火墙策略，仅允许授权的业务IP地址访问memcached服务器，拦截非法的非法访问。

     2）更改memcached服务的监听端口为11211之外的其他大端口，避免针对默认端口的恶意利用。

     3）升级到最新的memcached软件版本，配置启用SASL认证等权限控制策略（在编译安装memcached程序时添加-enable-sasl选项，并且在启动memcached服务程序时添加-S参数，启用SASL认证机制以提升memcached的安全性）。

     4）建议相关单位对其他可能被利用发动大规模反射攻击的服务器资源（例如NTP服务器和SSDP主机）开展摸排，对此类反射攻击事件进行预防处置。

修复方案

因为Memcached没有权限控制功能，所以需要对访问来源进行限制。

Memcached服务加固方案

1. 定期升级，使用官方最新版本Memcached

2. 绑定监听IP
   

3. 如果Memcached没有在公网开放的必要，可在Memcached启动时指定绑定的IP地址为 127.0.0.1。例如，在Linux环境中运行以下命令：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

4. 使用最小化权限账号运行Memcached服务
   使用普通权限账号运行，指定Memcached用户。例如，在Linux环境中运行以下命令来运行Memcached：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11211 -c 1024 -P /tmp/memcached.pid

5. 启用认证功能

   Memcached本身没有做验证访问模块,Memcached从1.4.3版本开始，能支持SASL认证。SASL认证详细配置手册

6. 修改默认端口
   修改默认11211监听端口为11222端口。在Linux环境中运行以下命令：
   memcached -d -m 1024 -u memcached -l 127.0.0.1 -p 11222 -c 1024 -P /tmp/memcached.pid

   Memcached命令参数说明

• -d 是指启动一个守护进程。

• -m 是指分配给Memcached使用的内存数量，单位是MB，以上为1024MB。

• -u 是指运行Memcached的用户，推荐使用单独普通权限用户Memcached，而不要使用root权限账户。

• -l 是指监听的服务器IP地址，例如指定服务器的IP地址为127.0.0.1。

• -p 是用来设置Memcached的监听端口，默认端口为11211。建议设置1024以上的端口。

• -c 是指最大运行的并发连接数，默认是1024。可按照您服务器的负载量来设定。

• -P 是指设置保存Memcached的pid文件，例如保存在 /tmp/memcached.pid 位置。

7. 备份数据。
   为避免数据丢失，升级前请做好备份，或进行快照服务或将重要数据进行定期数据备份异地灾备。关于异地重要数据备份服务可联系亿人互联客户经理。

天津市亿人科技发展有限公司

网络安全部

2018.03.03