常用系統
常用連結
學期期間開放時間
週一至週五 08:00-21:00
週六、週日 08:30-12:30
寒暑假期間開放時間
週一至週五 09:00-17:00
      週六       09:00-12:00

※ 國定假日不對外開放
首頁 > 資安專區 > 資安宣導 > [校內資安預警]memcached分散式快取系統-注意事項
[校內資安預警]memcached分散式快取系統-注意事項 2018-03-09

memcached分散式快取系統-注意事項

一、原因:

memcached分散式快取系統疑似設定不當,使外部使用者可不受約束存取系統資料,可能導致資訊洩漏或遭惡意利用。

Memcached分散式快取系統預設通訊埠為11211埠口,其設計目的是為了加快動態網頁回應時間,減少網頁後端資料庫資料存取壓力,並提升整體網站資料處理效能,現今廣泛使用於各網站架構中,其中知名網站包含Facebook, Flickr, Twitter, Reddit, YouTube, 及Github等。 

近期綜整Akamai, Cloudflare及Arbor研究顯示,發生多起memcached系統遭惡意利用作為DDoS放大攻擊使用,最高放大攻擊流量達1.7Tbps,其手法為以偽冒IP對memcached系統發送UDP請求,爾後memcached系統回覆遭偽冒IP之目標主機,封包放大率高達五萬倍。

二.檢查措施

可使用telnet連線或nmap掃描工具,對memcached系統進行連線掃描。此外,可下載memcached客戶端工具,設定相關IP與埠口連線至memcached嘗試獲取系統相關資訊,Python程式語言參考連線程式碼如下: from pymemcache.client import base client = base.Client((ip, 11211)) dict_stats = client.stats()

三.處理措施

1. 盤點貴單位內部網路是否存在相關memcached系統,如不須使用相關系統服務建議關閉。

2. 將系統移至實體防火牆後端進行連線過濾,並檢驗防火牆規則,確認個別系統僅開放所需對外提供服務之通訊埠。若無防火牆可考慮安裝防火牆,Linux平台可考慮使用 iptables 等內建防火牆。

3. 彙整外部受信任連線來源並建立白名單,僅允許白名單存取系統資源。

4. 系統服務如不需提供UDP連線,建議關閉UDP連線


四.參考資料


CVE-2018-1000115漏洞資訊(https://nvd.nist.gov/vuln/detail/CVE-2018-1000115)

Arbor事件分析報告(https://www.arbornetworks.com/blog/asert/netscout-arbor-confirms-1-7-tbps-ddos-attack-terabit-attack-era-upon-us/)

Akamai事件分析報告(https://blogs.akamai.com/2018/03/memcached-fueled-13-tbps-attacks.html)


參考資料:台灣學術網路危機處理中心(TACERT)