昨天在群里看见有人发了出自360安全的文章:[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击
进去看了下,这个利用还真不错,小成本大dd啊。
这是360最后关于这个利用漏洞的修复提示:
对于Memcache使用者
- memcache的用户建议将服务放置于可信域内,有外网时不要监听
0.0.0.0
,有特殊需求可以设置acl或者添加安全组。 - 为预防机器器扫描和ssrf等攻击,修改memcache默认监听端口。
- 升级到最新版本的memcache,并且使用SASL设置密码来进行权限控制。
对于网络层防御
- 多个ISP已经对UDP11211进行限速。
- 打击攻击源:互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。
- ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。
因为已经说了不要监听0.0.0.0也好,我们就可以改下这个监听地址。
现在很多服务器环境搭建,应该都不是0.0.0.0吧。
我看见这个文章之后,就去看了下公司的部分服务器,和这次漏洞无缘了。
不过还是可以简单说下怎么改这个监听地址:
1:登陆服务器了,先用netstat -an |more命令,查看当前所有监听。
如果是:0.0.0.0:11211,那么你就得改,如果不是就可以不改了。
2:修改监听地址
vim /etc/sysconfig/memcached
OPTIONS=“-l 127.0.0.1” #设置本地为监听
3:重启memcached
/etc/init.d/memcached restart