Record

机会是留给有准备的人

受到Memcache UDP 反射放大攻击与解决

起因:

今天收到大量阿里云的短信,邮件,报cpu使用率超过80%,时不时正常,时不时恢复。

排查分析:

1.上服务器用top命令查看,发现有时候卡死top显示不出来,有时候占有率却很低,算是看不出名堂

2.看阿里云安全警告显示:进程异常行为-Linux异常文件下载,想看具体原因要升级企业版,又看了企业版好几千块呢,尼玛,老板肯定不批了。

3.接着看到上千条ECS服务器管理重要通知:“由于被检测到对外攻击,已阻断该服务器对其它服务器端口(UDP:ALL)的访问”
上网一查都说redis未设置密码,而我的服务器是有密码的

4.看了一下云监控,果然显示出网网卡都是跑满的,不卡才怪。

5.在服务器装了个iftop,一看出入网流量不大啊,看ip都是内网IP,哦,原来iftop默认看的是eth0的流量

6.继续使用iftop -i eth1,果然出网数据大

7.继续用p命令查看端口,端口是没看到,但是显示的是memcache

8.发给牛逼的运维一看,立马给我看了一篇文章“Memcache UDP 反射放大攻击 II: 最近的数据分析”

9.立马关了memcahce试试看,果然就不发包了。

解决办法:

1.设置阿里云禁止外网出入数据的端口
2.修改默认端口
3.升级memcahce