Hulpartikel overzicht

Hulpartikel

Hoe bescherm ik mijn Memcache service tegen misbruik?

Een open Memcache service kan worden misbruikt als reflector in een zogenaamde Distributed Denial-of-Service (DDoS) aanval.

In dit artikel laten wij je zien hoe je toegang tot de Memcache service op je VPS beperkt, of je Memcache poort dichtzet.

Toegang tot de Memcache service beperken

Je kunt de Memcache service configureren zodat je enkel vanaf je eigen VPS er gebruik van kunt maken.

Stap 1

Verbind met je VPS via SSH, of de VPS console en gebruik het volgende commando:

nano /etc/memcached.conf

Stap 2

Scroll naar onderen in het bestand en zoek naar het stukje code hieronder:

-l 123.123.123.123

123.123.123.123 is hier je ingestelde IP. Verander dit naar het onderstaande, of voeg dit toe als het nog niet bestaat:

-l 127.0.0.1

Memcache toegang beperken tot specifieke IP's

In plaats van de toegang te beperken tot enkel je VPS, zijn er twee alternatieven die je kunt gebruiken als je met een andere VPS gebruik wil maken van de Memcache service op je VPS:

  • Je kunt een private netwerk gebruiken om de betreffende VPS'en in op te nemen.
  • Sluit de Memcache poort (UDP 11211) in je firewall en geef enkel beperkte IP-adressen toegang. Dit doe je als volgt voor FirewallD en Iptables:

FirewallD

Stap 1

Sluit UDP poort met het commando:

firewall-cmd --zone=public --remove-port=11211/udp

Stap 2

Met onderstaande commando's maak je een uitzondering voor je eigen IP adres zodat enkel je eigen IP kan verbinden op poort 2222.

sudo firewall-cmd --permanent --zone=public --add-rich-rule='
rule family="ïpv4"
source address="1.2.3.4"
port protocol="udp" port="11211" accept'

Vervang 1.2.3.4 door je daadwerkelijke IP adres. Je kunt deze stappen herhalen om meer IP's toegang te geven.


Stap 3

Herstart je firewall:

sudo firewall-cmd --reload

Iptables
Stap 1

Sluit UDP poort 11211 met het commando:

iptables -A INPUT -p udp --dport 11211 -j DROP

Stap 2

Met onderstaande commando's maak je een uitzondering voor je eigen IP adres zodat enkel je eigen IP kan verbinden op poort 2222.

iptables -I INPUT -p udp -s 1.2.3.4 --dport 22 -j ACCEPT

Vervang 1.2.3.4 door je daadwerkelijke IP adres. Je kunt deze stappen herhalen om meer IP's toegang te geven.


Stap 3

Herstart je firewall:

iptables-save | sudo tee /etc/sysconfig/iptables
service iptables restart

Heb je een goed idee?

Stuur jouw idee in! Met genoeg stemmen komt jouw idee op onze wishlist!

Heeft dit artikel je geholpen?

Maak een account aan of log in om een beoordeling achter te laten.

Reacties

Maak een account aan of log in om een reactie te plaatsen.

Kom je er niet uit?

Ontvang persoonlijke hulp van onze supporters

Neem contact op