Come si rileva un attacco Memcached DDoS sul proprio server?

Se sei quello che viene sfruttato per effettuare l'attacco, vedrai un traffico intenso che lascia il tuo server dalla porta UDP 11211 e una piccola quantità di traffico in entrata dalla macchina dell'attaccante a detta porta (con l'IP di origine falsificato per apparire essere quello del bersaglio). Tuttavia, sarebbe meglio per voi semplicemente configurare Memcached in modo che non sia esposto a Internet. Questo può essere fatto modificando il suo file di configurazione e legandolo a localhost. Se invece sei il target, vedrai una grande quantità di traffico in arrivo da molti server provenienti dalla porta di origine UDP 11211.

Se usi Snort, è disponibile una regola di rilevamento .

Puoi analizzare il prossimo strumento link e creare una firma Snort / Suricata / AIengine per esso, sul Dall'altra parte puoi seguire l'approccio di volumen di UDP sui tuoi servizi di memcache e rilevare un picco su quei servizi.