关于Memcached服务器反射攻击的情况通报

针对近期呈大幅上升趋势的Memcached服务器反射攻击事件，CNCERT已有序开展应急响应工作，并于3月3日向公众进行预警通报。现将近期Memcached服务器反射攻击的有关情况通报如下：

一、Memcached服务器反射攻击应急处置情况       

在工业和信息化部网络安全管理局的指导下，CNCERT组织各省分中心持续开展应急响应工作，通报处置了13981个已被利用发起攻击或探测扫描的Memcached服务器。

二、Memcached服务器反射攻击监测分析情况

CNCERT抽样监测情况表明，自3月1日全网Memcached服务器反射攻击流量（如图1）达到高峰后，3月2日至4日有所回落，但3月5日、6日、7日的反射攻击流量峰值又上升至500Gbps附近。

图1 全网Memcached服务器反射攻击流量       

3月7日，我国境内IP地址遭受Memcached服务器反射攻击累积流量894.37TB，其中来自境外的反射攻击累积流量达738.56TB（占比82.58%），境外Memcached服务器IP地址按国家地区进行统计（如图2），排名前五位的依次是美国（26.04%）、俄罗斯（9.77%）、荷兰（9.36%）、越南（4.34%）和德国（3.90%）。

        图2 向我国境内发起反射攻击的境外Memcached服务器IP分布情况

3月7日，我国境内遭受Memcached服务器反射攻击累计流量按省份进行统计（如图3），排名前五位的省份依次是广东（23.95%）、江苏（16.79%）、福建（13.22%）、广西（13.15%）和北京（10.31%）。

        图3 我国境内遭受Memcached服务器反射攻击累计流量分布情况

3月7日，我国境内Memcached服务器被利用形成的反射攻击累积流量250.24TB，我国境内Memcached服务器被利用形成的反射攻击累计流量按省份进行统计（如图4），排名前五位的省份依次是浙江（26.99%）、北京（19.06%）、广东（15.83%）、上海（11.35%）和江苏（10.52%）。

        图4 我国境内Memcached服务器被利用形成的反射攻击累计流量分布情况

CNCERT将密切关注Memcached服务器反射攻击的演变情况，并进行持续通报。如需技术支援，请联系 CNCERT（电子邮箱@cert.org.cn" style="box-sizing: border-box; background: 0px 0px; color: rgb(6, 154, 239); text-decoration-line: underline;">cncert@cert.org.cn，联系电话010-82990999）。