2018/03/01

memcached UDP 放大攻擊之亂--Centos7 關閉UDP及只綁定127.0.0.1


昨晚機器流量異常....爆增流量




* 十小時前的新聞
https://www.ithome.com.tw/news/121543
"Majkowski建議不使用UDP的Memcached用戶應直接關閉該通訊埠,或確保自己的Memcached伺服器受到防火牆的保護,也提醒開發人員最好不要使用UDP,就算不得不用,也不應預設為啟用狀態,並應嚴格限制回應封包的大小,以免成為駭客執行DDoS攻擊的幫兇。"

* 七小時前的新聞
https://www.networkworld.com/article/3258772/security/memcached-servers-can-be-hijacked-for-massive-ddos-attacks.html

* memcached 伺服器參數 ConfiguringServer
https://github.com/memcached/memcached/wiki/ConfiguringServer#commandline-arguments

* 看一下啟動程序怎麼寫的
[root@dev ~]# more /usr/lib/systemd/system/memcached.service
...SKIP 略...
[Service]
Type=simple
EnvironmentFile=-/etc/sysconfig/memcached
ExecStart=/usr/bin/memcached -u $USER -p $PORT -m $CACHESIZE -c $MAXCONN $OPTIONS
...SKIP 略...

* 看來改一下 memcached 的 OPTIONS 就可以
* -l 參數可以指定接收的 interface
* -U 可以關閉 UDP port
[root@dev ~]# cat /etc/sysconfig/memcached
PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS="-l 127.0.0.1 -U 0"

* 重新啟動
[root@dev ~]# systemctl restart memcached.service

* 檢查 netstat 看看是否只剩下 127.0.0.1:11211 的
[root@dev ~]# netstat -tnulp | grep mem
tcp        0      0 127.0.0.1:11211         0.0.0.0:*               LISTEN      12810/memcached




張貼留言