UCloud-201809-003:RPCBind放大攻击安全预警

漏洞详情

近日,对外开放的RPCBind服务被利用UDP反射放大攻击原理进行DDoS攻击。攻击者通过将请求包中源地址替换成攻击目标IP,伪造源地址,发送到大量RPCBind服务器,从而造成目标IP被DDos攻击。
放大攻击是指能够实施IP欺骗的攻击者向一台易受攻击的UDP服务器发送伪造的请求,UDP服务器不知道请求是伪造的,准备响应,成千上万个响应被发往一个浑然不知的目标主机时,大量耗用资源,通常网络本身不堪重负,这时会出现问题。

影响范围

开放到公网的RPCBind服务

修复方案

1)对于未使用的RPCBind服务,建议直接关闭
关闭RPCBind服务:
Ubuntu使用“sudo systemctl stop rpcbind.socket ”命令
CentOS使用“systemctl stop rpcbind.socket ”命令
检查是否关闭:netstat -anp | grep rpcbind 
2)通过UCloud外网防火墙,限制访问RPCBind端口(默认为111)的源IP或者限制公网访问;

参考链接

https://www.us-cert.gov/ncas/alerts/TA14-017A

立刻体验,即可享受30余款产品免费套餐

立即体验