CLDAP/Memcached攻击防御指南

本文深入剖析了CLDAP和Memcached两类典型UDP反射放大攻击的防御难点与实战对策，指出传统iptables的--hashlimit-upto因依赖conntrack连接状态而在伪造源IP的无连接单包攻击中完全失效，并给出精准有效的替代方案：强制按源IP哈希限速（--hashlimit-mode srcip + --hashlimit-srcmask）、禁用conntrack绑定、适配分片处理时机（raw表优先）、合理设置哈希表参数及关键验证步骤；同时强调，单纯限速仅为缓解手段，必须结合关闭公网UDP服务、禁用Memcached UDP接口及专业清洗设备，才能构建纵深防御体系。

为什么 --hashlimit-upto 在 UDP 反射攻击中经常失效

因为 --hashlimit-upto 默认按「连接」（conntrack 状态）限速，而 CLDAP（端口 389）和 Memcached（端口 11211）反射攻击全是伪造源 IP 的单包 UDP 请求，不建连接、不进 conntrack 表——规则根本匹配不到流量。

实操建议：

• 必须显式指定 --hashlimit-mode srcip，强制按源 IP 哈希（否则默认可能用 dstip 或更不可控的 key）
• 加上 --hashlimit-srcmask 32（IPv4）或 --hashlimit-srcmask 128（IPv6），避免 CIDR 合并导致漏限
• 禁用 conntrack 依赖：--hashlimit-htable-expire 60000（毫秒），防止哈希表项长期滞留

针对 CLDAP 放大攻击的最小有效 iptables 规则

CLDAP 查询包极小（~100B），响应可达数 MB，攻击者常发 LDAPSearchRequest 到开放的 389/udp 服务。重点不是拦住所有请求，而是压住单 IP 每秒请求数。

推荐规则：

iptables -A INPUT -p udp --dport 389 -m hashlimit \
  --hashlimit-above 5/sec \
  --hashlimit-burst 10 \
  --hashlimit-mode srcip \
  --hashlimit-srcmask 32 \
  --hashlimit-name cldap-flood \
  -j DROP

说明：

• --hashlimit-above 5/sec：单 IP 超过 5 包/秒即触发限速（实际生产可调至 1–2/sec）
• --hashlimit-burst 10：允许短时突发，避免误伤合法扫描或重试
• --hashlimit-name cldap-flood：命名哈希表，便于排查（cat /proc/net/ipt_hashlimit/cldap-flood）

Memcached 攻击需额外处理 UDP 分片和短连接特征

Memcached UDP 协议本身无会话概念，且攻击包常被分片（尤其 >1500B 的 get 请求），而 iptables 默认在 NF_INET_PRE_ROUTING 钩子点处理，此时分片尚未重组——--hashlimit 可能对同一攻击流的不同分片重复计数或漏计。

应对方式：

• 优先在 raw 表中早于分片重组处限速：iptables -t raw -A PREROUTING -p udp --dport 11211 ...
• 若已启用 nf_conntrack_ipv4(fragment)，确认内核参数 net.ipv4.ipfrag_high_thresh 不过低，否则碎片队列丢包会导致哈希统计失真
• 避免用 --hashlimit-htable-size 设过大值（如 65536），UDP 源 IP 随机性强，哈希冲突高，反而降低限速精度

验证规则是否生效的关键检查点

光加规则不等于防御到位，以下三点漏掉任一都可能让规则形同虚设：

• 确认 xt_hashlimit 模块已加载：lsmod | grep hashlimit，未加载则 modprobe xt_hashlimit
• 检查规则插入位置：必须在 ACCEPT 相关规则之前（如 -A INPUT -p udp --dport 389 -j ACCEPT 若在限速规则后，攻击包直接放行）
• 监控哈希表水位：watch -n1 'cat /proc/net/ipt_hashlimit/cldap-flood 2>/dev/null | wc -l'，持续 >1000 行说明攻击源过多或 --hashlimit-htable-size 设置不足

真实环境中，源 IP 伪造程度高，单一哈希限速只能缓解，不能根除；配合关闭公网 UDP 端口、禁用 Memcached 的 UDP 接口、或用 DDoS 清洗设备做首层过滤，才构成完整防线。

本篇关于《CLDAP/Memcached攻击防御指南》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！