- 禁用 UDP - 对于 memcached 服务器,如果您不需要它,请确保禁用 UDP 支持。默认情况下,memcached 启用了 UDP 支持,这可能会使服务器容易受到攻击。
- 防火墙 memcached 服务器- 通过对 Internet 上的memcached 服务器进行防火墙设置,系统管理员可以在必要时将 UDP 用于 memcached 而不会暴露。
- 防止 IP 欺骗- 只要 IP 地址可以被欺骗,DDoS 攻击就可以利用该漏洞将流量定向到受害者的网络。防止 IP 欺骗是一个更大的解决方案,任何特定的系统管理员都无法实施,它要求传输提供商不允许任何具有源自网络外部的源 IP 地址的数据包离开其网络。换句话说,互联网服务提供商 (ISP) 等公司必须过滤流量,以便不允许离开其网络的数据包假装来自其他地方的不同网络。如果所有主要交通服务提供商都实施这种类型的过滤,那么基于欺骗的攻击将在一夜之间消失。
- 开发减少 UDP 响应的软件——另一种消除放大攻击的方法是去除任何传入请求的放大系数;如果作为 UDP 请求的结果发送的响应数据小于或等于初始请求,则不再可能进行放大。
Cloudflare 在我们的网络边缘过滤 UDP 流量,消除了这种放大攻击带来的风险。探索 Cloudflare 的高级 DDoS保护。
