昨天在群里看见有人发了出自360安全的文章:[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击

进去看了下,这个利用还真不错,小成本大dd啊。

这是360最后关于这个利用漏洞的修复提示:

对于Memcache使用者

  • memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组。
  • 为预防机器器扫描和ssrf等攻击,修改memcache默认监听端口。
  • 升级到最新版本的memcache,并且使用SASL设置密码来进行权限控制。

对于网络层防御

  • 多个ISP已经对UDP11211进行限速。
  • 打击攻击源:互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。
  • ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。

因为已经说了不要监听0.0.0.0也好,我们就可以改下这个监听地址。

现在很多服务器环境搭建,应该都不是0.0.0.0吧。

我看见这个文章之后,就去看了下公司的部分服务器,和这次漏洞无缘了。

不过还是可以简单说下怎么改这个监听地址:

1:登陆服务器了,先用netstat -an |more命令,查看当前所有监听。

如果是:0.0.0.0:11211,那么你就得改,如果不是就可以不改了。

2:修改监听地址

vim /etc/sysconfig/memcached
OPTIONS="-l 127.0.0.1"  #设置本地为监听
3:重启memcached
/etc/init.d/memcached restart