一、概要

近期業(yè)界監(jiān)測(cè)發(fā)現(xiàn)多起云主機(jī)利用RPCBind服務(wù)進(jìn)行UDP反射DDoS攻擊的案例，攻擊占用大量帶寬可導(dǎo)致被攻擊目標(biāo)拒絕服務(wù)。 RPCBind（也稱Portmapper、portmap或RPCPortmapper）是linux平臺(tái)一種通用的RPC端口映射功能，默認(rèn)綁定在端口111上。黑客通過批量掃描 111 UDP端口，利用UDP反射放大來進(jìn)行DDoS攻擊。

二、風(fēng)險(xiǎn)級(jí)別

風(fēng)險(xiǎn)級(jí)別：【嚴(yán)重】

（說明：風(fēng)險(xiǎn)級(jí)別共四級(jí)：一般、重要、嚴(yán)重、緊急。）

三、影響范圍

開啟了RPCBind (Portmapper, portmap 或 RPCPortMapper 等)服務(wù)的系統(tǒng)。

四、排查和處置

直接關(guān)閉RPCBind服務(wù)： 如果業(yè)務(wù)中并沒有使用RPCBind服務(wù)，建議直接關(guān)閉，rpcbind在以前以被證明存在潛在的安全風(fēng)險(xiǎn)。操作如下：

1、Ubuntu系統(tǒng)：

      1）打開終端，運(yùn)行如下命令，關(guān)閉rpcbind服務(wù)：

      sudo systemctl stop rpcbind.socket

      2）檢查rpcbind服務(wù)是否關(guān)閉：

      netstat -anp |grep rpcbind或service rpcbind status

2、CentOS系統(tǒng)：

       1）打開終端，運(yùn)行如下命令：

       systemctl stop rpcbind.socket

       2）檢查rpcbind服務(wù)是否關(guān)閉：

       netstat -anp |grep rpcbind 或service rpcbind status

       圖1：該結(jié)果顯示為rpcbind服務(wù)正開啟

        圖2：該結(jié)果顯示為rpcbind服務(wù)已關(guān)閉