¿Cómo detecta un ataque DDoS de Memcached en su servidor?

2

En términos de detección temprana, ¿cómo podría un administrador del sistema detectar que se produjo un ataque Memcached DDoS?

    
pregunta Shroomy 04.09.2018 - 10:23
fuente

2 respuestas

0

Puede analizar la siguiente herramienta enlace y crear una firma Snort / Suricata / AIengine para ella, en la Por otra parte, puede seguir el enfoque de volumen de UDP en sus servicios de memcache y detectar un aumento en esos servicios.

    
respondido por el camp0 04.09.2018 - 10:36
fuente
0

Si usted es el que está siendo explotado para llevar a cabo el ataque, verá un tráfico intenso que sale de su servidor desde el puerto UDP 11211 y una pequeña cantidad de tráfico entrante desde la máquina del atacante a dicho puerto (con la IP de origen falsificada para que aparezca ser la del target). Sin embargo, sería mejor para usted simplemente configurar Memcached para que no esté expuesto a Internet. Esto se puede hacer editando su archivo de configuración y enlazándolo a localhost. Si, por otro lado, usted es el objetivo, verá una gran cantidad de tráfico entrante proveniente de muchos servidores que provienen del puerto de origen UDP 11211.

Si usa Snort, hay una regla de detección disponible para ello.

    
respondido por el forest 04.09.2018 - 10:36
fuente

Lea otras preguntas en las etiquetas