<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><meta http-equiv="Content-Type" content="text/html charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><meta http-equiv="Content-Type" content="text/html charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><meta http-equiv="Content-Type" content="text/html charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><meta http-equiv="Content-Type" content="text/html charset=utf-8" class=""><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class="">[The posting is sent to APOPS, AfNOG, SANOG, PacNOG, SAFNOG, CaribNOG,&nbsp;TZNOG, MENOG, SDNOG, LACNOG, IRNOG, MYNOG, SGOPS, and the RIPE Routing WG.]</div><div class=""><br class=""></div><div class=""><div class=""><p class="" style="box-sizing: inherit; border: 0px; font-family: Lato, sans-serif; font-size: 15px; margin: 0px 0px 1.5em; outline: 0px; padding: 0px; vertical-align: baseline; color: rgb(88, 88, 90); font-variant-ligatures: normal; orphans: 2; widows: 2; background-color: rgb(255, 255, 255);"><strong class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px; outline: 0px; padding: 0px; vertical-align: baseline;">UPDATE: As of 2018-02-28, more attacks using the&nbsp;</strong>memcached<strong class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px; outline: 0px; padding: 0px; vertical-align: baseline;">&nbsp;reflection vector have been unleashed on the Internet. Operators are asked to port filter (Exploitable Port Filters), rate&nbsp;</strong>limits<strong class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px; outline: 0px; padding: 0px; vertical-align: baseline;">&nbsp;the port 11211 UDP traffic (ingress and egress), and clean up any&nbsp;</strong>memcached<strong class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px; outline: 0px; padding: 0px; vertical-align: baseline;">&nbsp;exposed to the Internet (</strong>iptables<strong class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px; outline: 0px; padding: 0px; vertical-align: baseline;">&nbsp;on UNIX works).&nbsp; These mitigations should be on IPv4 and IPv6! There is not excuse for ISPs, Telcos, and other operators for not acting. NTT is an example of action. As stated by&nbsp;Job Snijders &lt;<a href="mailto:job@ntt.net" class="">job@ntt.net</a>&gt; on the NANOG List:</strong></p><blockquote class="" style="box-sizing: inherit; border: 0px; font-family: Lato, sans-serif; font-size: 15px; margin: 0px 1.5em 0px 0px; outline: 0px; padding: 0px 0px 0px 3.5em; vertical-align: baseline; quotes: '' ''; background-image: url(applewebdata://34C49381-1647-44BC-8C02-43CACDFCC6B7/library/images/quote.png); background-color: rgb(255, 255, 255); color: rgb(88, 88, 90); font-variant-ligatures: normal; orphans: 2; widows: 2; background-position: left top; background-repeat: no-repeat no-repeat;"><p class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px 0px 1.5em; outline: 0px; padding: 0px; vertical-align: baseline;"><strong class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px; outline: 0px; padding: 0px; vertical-align: baseline;">“NTT too has deployed rate limiters on all external facing interfaces on the GIN backbone – for UDP/11211 traffic – to dampen the negative impact of open memcached instances on peers and customers.</strong></p><p class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px 0px 1.5em; outline: 0px; padding: 0px; vertical-align: baseline;"><strong class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px; outline: 0px; padding: 0px; vertical-align: baseline;">The toxic combination of ‘one spoofed packet can yield multiple reponse packets’ and ‘one small packet can yield a very big response’ makes the</strong><br class="" style="box-sizing: inherit;"><strong class="" style="box-sizing: inherit; border: 0px; font-family: inherit; font-style: inherit; margin: 0px; outline: 0px; padding: 0px; vertical-align: baseline;">memcached UDP protocol a fine example of double trouble with potential for severe operational impact.”</strong></p></blockquote></div><div class="">This post has been updated with recommendations. Check with your network vendors for deployment/configuration details.</div><div class=""><br class=""></div><div class=""><a href="http://www.senki.org/memcached-on-port-11211-udp-tcp-being-exploited/" class="">http://www.senki.org/memcached-on-port-11211-udp-tcp-being-exploited/</a></div><div class=""><br class=""></div><div class="">----------------</div></div><div class=""><br class=""></div></div></div></div></div></body></html>