Zabezpieczenie memcached przed atakiem DDOS

Kilka miesięcy temu wyszła na jaw luka w memcached która umożliwiała używanie go do wykonywania ataków dos po protokole udp.
Aby móc wykonać atak konieczne było spełnienie kilka warunków:

  • memcached musi nasłuchiwać globalnie
  • port musi być otwarty na połączenie z zewnątrz
  • protokół UDP dla memcached musi być włączony

Zabezpieczenie memcached można wykonać w prosty sposób:

Centos 7

Modyfikujemy plik /etc/sysconfig/memcached modyfikując:

na

Debian/Ubuntu

Sprawdzamy czy plik /etc/memcached.conf ma w treści:

Jeśli nie ma to go dodajemy jak poniżej, a jeśli ma – dopisujemy tylko końcówkę:

Zapisujemy i restartujemy memcached.

Co oznaczają owe literki?

-l 127.0.0.1 mówi nam że serwer memcached ma nasłuchiwać wyłącznie lokalnie

-U 0 wyłącza działanie na protokole UDP

Czy coś jeszcze muszę zrobić?

Tak, warto dodatkowo:

  • sprawdzić czy klient nie korzysta z memcached na zewnątrz
  • zablokować ruch na portach 11211 na firewallu
  • upewnić się że memcached jest w najnowszej wersji
  • zweryfikować czy jest on używany – jeśli nie to można go odinstalować w myśl zasady “im mniej niepotrzebnych usług tym bezpieczniej”
Oceń wpis

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *