WinkelwagenControlepaneel
Hulpartikel overzicht

Hulpartikel

Hoe bescherm ik mijn Memcache service tegen misbruik?

WebhostingBasisAbuseCentOSCoreOSDebianFreeBSDFreeNASLinuxOpenBSDBeveiligingUbuntuVPS

Een open Memcache-service kan worden misbruikt als reflector in een zogenaamde Distributed Denial-of-Service (DDoS) aanval.

In dit artikel laten wij je zien hoe je toegang tot de Memcache-service op je VPS beperkt, of je Memcache-poort dichtzet.

Gebruik sudo of voer de stappen in dit artikel uit als root-user.

Toegang tot de Memcache-service beperken

Je kunt de Memcache-service zodanig configureren dat je enkel vanaf je eigen VPS er gebruik van kunt maken.

 

Stap 1

Verbind met je VPS via SSH, of de VPS-console en gebruik het volgende commando:

nano /etc/memcached.conf

 

Stap 2

Scroll naar onderen in het bestand en zoek naar het stukje code hieronder:

-l 123.123.123.123

123.123.123.123 is hier je ingestelde IP. Verander dit naar het onderstaande, of voeg dit toe als het nog niet bestaat:

-l 127.0.0.1

Memcache toegang beperken tot specifieke IP's

In plaats van de toegang te beperken tot enkel je VPS, zijn er twee alternatieven die je kunt gebruiken als je met een andere VPS gebruik wil maken van de Memcache-service op je VPS:

  • Je kunt een private netwerk gebruiken om de betreffende VPS'en in op te nemen. Sluit in dat geval wel de publieke UDP poort 11211 op je publieke netwerkinterface.
  • Geef enkel specifieke IP-adressen toegang. Dit doe je als volgt voor FirewallD, UFW en Iptables:

 

FirewallD (CentOS, Plesk, cPanel, DirectAdmin)

Stap 1

Sluit UDP poort met het commando:

firewall-cmd --zone=public --remove-port=11211/udp

Gebruik je een Plesk-VPS vervang dan --zone=public door --zone=plesk (ook in stap 2)

Stap 2

Met onderstaande commando's maak je een uitzondering voor je eigen IP adres zodat enkel je eigen IP kan verbinden op poort 11211.

sudo firewall-cmd --permanent --zone=public --add-rich-rule='
rule family="ïpv4"
source address="123.123.123.123"
port protocol="udp" port="11211" accept'

Vervang 123.123.123.123 door je daadwerkelijke IP-adres. Je kunt deze stappen herhalen om meer IP's toegang te geven.

Stap 3

Herstart je firewall:

sudo firewall-cmd --reload

 

UFW (Debian / Ubuntu)

Stap  1

Sluit UDP poort 11211 met het commando:

ufw deny 11211/udp

 

Stap 2

Met onderstaande commando's maak je een uitzondering voor je eigen IP adres zodat enkel je eigen IP kan verbinden op poort 11211.

ufw deny from 123.123.123.123 to any port 11211 proto udp

Vervang 123.123.123.123 door je daadwerkelijke IP adres. Je kunt deze stappen herhalen om meer IP's toegang te geven.

 

Iptables

Stap 1

Sluit UDP poort 11211 met het commando:

iptables -A INPUT -p udp --dport 11211 -j DROP

Stap 2

Met onderstaande commando's maak je een uitzondering voor je eigen IP adres zodat enkel je eigen IP kan verbinden op poort 11211.

iptables -I INPUT -p udp -s 123.123.123.123 --dport 11211 -j ACCEPT

Vervang 123.123.123.123 door je daadwerkelijke IP adres. Je kunt deze stappen herhalen om meer IP's toegang te geven.

Stap 3

Herstart je firewall:

iptables-save | sudo tee /etc/sysconfig/iptables
service iptables restart

Heb je ook een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Stuur jouw idee in

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Deel dit artikel

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op

VPS

Tools

Hulp nodig?

Over TransIP