对抗 memcached 反射 DDoS

maxsum · 发表于 2018-3-19 00:21:26

本帖最后由 maxsum 于 2018-3-19 00:48 编辑

Memcached 那个漏洞搞得全世界都 D 来 D 去，大家都不好受。之前有个 Memfixed 关掉有漏洞的 Memcached 服务器，但是也不知道能不能关掉所有的。
于是撸了一个小工具，收到来自 UDP 11211 端口的数据包就发送命令关闭 Memcached 服务器（基于同一个 Memcached 漏洞，http://www.aqniu.com/threat-alert/31905.html）。虽然有可能再关掉之前就被打趴了，但是总是能关掉几台服务器，算是为世界作贡献了。

https://github.com/max-sum/memreflect

maxsum · 发表于 2018-3-19 01:27:57

march1993 发表于 2018-3-19 01:19

大佬，既然udp包可以随便伪造，那这个killswitch的包不一定要在本机发送啊
可以生成好list，放到别的机器来 ...
那就是 Memfixed 的工作方法

laokof4n · 发表于 2018-3-19 01:19:00

点个星咯

62900015 · 发表于 2018-3-19 00:22:02

Star已送上

wzymmy · 发表于 2018-3-19 00:29:39

一般都是做成service的吧会自动重启

爱纯粹 · 发表于 2018-3-19 00:33:20

除了Star，我还能说些什么呢

litter123 · 发表于 2018-3-19 00:39:02

围观大佬。~！！战略性mark~！

dforel · 发表于 2018-3-19 00:44:55

大佬，既然udp包可以随便伪造，那这个killswitch的包不一定要在本机发送啊
可以生成好list，放到别的机器来发

顺带已经送上star怪不得最近都没看到memcached反射攻击了.

march1993domin · 发表于 2018-3-19 00:49:41

为世界作贡献，

kbuddy · 发表于 2018-3-19 00:56:34

啥意思啊？是防止别人用自己的memcached攻击别人？不是升级到最新版就可以了吗？11211新版默认不打开。

Memcached官方最新版本 1.5.6 已封堵了漏洞，默认会关闭 UDP 11211 端口，因此建议升级至最新版本，并且设置密码来进行权限控制。

		自动登录	找回密码
密码			立即注册