CLDAPMemcached攻击防御方法

偷偷努力，悄无声息地变强，然后惊艳所有人！哈哈，小伙伴们又来学习啦~今天我将给大家介绍《CLDAP/Memcached 攻击防御策略》，这篇文章主要会讲到等等知识点，不知道大家对其都有多少了解，下面我们就一起来看一吧！当然，非常希望大家能多多评论，给出合理的建议，我们一起学习，一起进步！

--hashlimit-upto在UDP反射攻击中失效，因其默认按conntrack连接限速，而CLDAP/Memcached攻击为伪造源IP的无连接单包UDP流量，不进入conntrack表；须改用--hashlimit-mode srcip、--hashlimit-srcmask 32/128，并禁用conntrack依赖。

为什么 --hashlimit-upto 在 UDP 反射攻击中经常失效

因为 --hashlimit-upto 默认按「连接」（conntrack 状态）限速，而 CLDAP（端口 389）和 Memcached（端口 11211）反射攻击全是伪造源 IP 的单包 UDP 请求，不建连接、不进 conntrack 表——规则根本匹配不到流量。

实操建议：

• 必须显式指定 --hashlimit-mode srcip，强制按源 IP 哈希（否则默认可能用 dstip 或更不可控的 key）
• 加上 --hashlimit-srcmask 32（IPv4）或 --hashlimit-srcmask 128（IPv6），避免 CIDR 合并导致漏限
• 禁用 conntrack 依赖：--hashlimit-htable-expire 60000（毫秒），防止哈希表项长期滞留

针对 CLDAP 放大攻击的最小有效 iptables 规则

CLDAP 查询包极小（~100B），响应可达数 MB，攻击者常发 LDAPSearchRequest 到开放的 389/udp 服务。重点不是拦住所有请求，而是压住单 IP 每秒请求数。

推荐规则：

iptables -A INPUT -p udp --dport 389 -m hashlimit \
  --hashlimit-above 5/sec \
  --hashlimit-burst 10 \
  --hashlimit-mode srcip \
  --hashlimit-srcmask 32 \
  --hashlimit-name cldap-flood \
  -j DROP

说明：

• --hashlimit-above 5/sec：单 IP 超过 5 包/秒即触发限速（实际生产可调至 1–2/sec）
• --hashlimit-burst 10：允许短时突发，避免误伤合法扫描或重试
• --hashlimit-name cldap-flood：命名哈希表，便于排查（cat /proc/net/ipt_hashlimit/cldap-flood）

Memcached 攻击需额外处理 UDP 分片和短连接特征

Memcached UDP 协议本身无会话概念，且攻击包常被分片（尤其 >1500B 的 get 请求），而 iptables 默认在 NF_INET_PRE_ROUTING 钩子点处理，此时分片尚未重组——--hashlimit 可能对同一攻击流的不同分片重复计数或漏计。

应对方式：

• 优先在 raw 表中早于分片重组处限速：iptables -t raw -A PREROUTING -p udp --dport 11211 ...
• 若已启用 nf_conntrack_ipv4(fragment)，确认内核参数 net.ipv4.ipfrag_high_thresh 不过低，否则碎片队列丢包会导致哈希统计失真
• 避免用 --hashlimit-htable-size 设过大值（如 65536），UDP 源 IP 随机性强，哈希冲突高，反而降低限速精度

验证规则是否生效的关键检查点

光加规则不等于防御到位，以下三点漏掉任一都可能让规则形同虚设：

• 确认 xt_hashlimit 模块已加载：lsmod | grep hashlimit，未加载则 modprobe xt_hashlimit
• 检查规则插入位置：必须在 ACCEPT 相关规则之前（如 -A INPUT -p udp --dport 389 -j ACCEPT 若在限速规则后，攻击包直接放行）
• 监控哈希表水位：watch -n1 'cat /proc/net/ipt_hashlimit/cldap-flood 2>/dev/null | wc -l'，持续 >1000 行说明攻击源过多或 --hashlimit-htable-size 设置不足

真实环境中，源 IP 伪造程度高，单一哈希限速只能缓解，不能根除；配合关闭公网 UDP 端口、禁用 Memcached 的 UDP 接口、或用 DDoS 清洗设备做首层过滤，才构成完整防线。

到这里，我们也就讲完了《CLDAPMemcached攻击防御方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！