我们看到大量新闻报道这些大规模 DDOS 攻击源自暴露memcached在开放互联网上的服务器。
memcached有时用于加快 MySQL 服务器的性能,减少去磁盘重复查找数据的需要。
那么问题是:如何在 Ubuntu 中安全地运行 memcached?
答案1
过去,UDP 访问是访问 memcache 数据库信息的传统方式,因为它比 TCP 更快。
但是,UDP 并不能保证传输,而且现在的整体吞吐量更快,因此开发人员改用 TCP,并引入了一种身份验证机制,以防止不必要的流量造成服务器过载。
但是,他们并没有同样保护 UDP 访问机制,也许是认为没人会使用它。
随着最近所有的关注,这成为了一个错误报告:
Bug #1752831 memcached 应默认禁用 UDP
新版本将默认关闭UDP。
此外,现在已有补丁可用于禁用现有系统中的 UDP。
许多安装都需要在将新补丁发布到生产系统之前对其进行彻底测试,因此对大约 100,000 台面向公众的memcached服务器(在 Shodan 上找到)进行升级或修补需要一段时间。
因此,除了安装可能产生未知影响的补丁外,还有一种简单的方法可以安全地在当前安装中将其关闭。
保护 Ubuntu 和 Debian 服务器上的 Memcached
释义摘录:
在该/etc/memcached.conf文件中,附加以下行:
-u 0
这不会以任何方式影响 TCP 访问,并且不需要对新补丁进行全面测试。