En términos de detección temprana, ¿cómo podría un administrador del sistema detectar que se produjo un ataque Memcached DDoS?
Si usted es el que está siendo explotado para llevar a cabo el ataque, verá un tráfico intenso que sale de su servidor desde el puerto UDP 11211 y una pequeña cantidad de tráfico entrante desde la máquina del atacante a dicho puerto (con la IP de origen falsificada para que aparezca ser la del target). Sin embargo, sería mejor para usted simplemente configurar Memcached para que no esté expuesto a Internet. Esto se puede hacer editando su archivo de configuración y enlazándolo a localhost. Si, por otro lado, usted es el objetivo, verá una gran cantidad de tráfico entrante proveniente de muchos servidores que provienen del puerto de origen UDP 11211.
Si usa Snort, hay una regla de detección disponible para ello.
Lea otras preguntas en las etiquetas ddos