DDOS攻撃の対処方法について

前提：
CentOS6.5

memcachedを踏み台にDDOS攻撃を受けています。
適切な対処方法についてお伺いさせていただきます。

上記サイトを参考に、memcachedの設定を以下のように修正いたしました。

/etc/sysconfig/memcached

PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS="-l 127.0.0.1 -U 0"

こちらの修正でIP制限とudpポートのアクセスを制御していると認識していますが、
memcachedを再起動後も攻撃が継続している為、ファイアウォールでIP制限をかけたいと考えています。

現段階のiptablesの設定は以下の通りです。

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 2049 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 2049 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 111 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 111 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 892 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 892 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5432 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 11211 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 5001 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

参考サイトでは以下を実施と記載がありますが、
こちらを実施する事でどのような効果があるのか教えていただきたいです。

sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp -s /32 --dport 11211 -m conntrack --ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -P INPUT DROP

あまり詳しくなく、大変恐縮ですが、よろしくお願いいたします。

TaichiYanagiya

2020/11/21 01:14

"ss -tln" または "netstat -tln" で TCP 11211 番ポートの LISTEN アドレスを確認ください。 "127.0.0.1:11211" に制限されているのに外部から DDoS 攻撃されているのであれば、別の公開サービス(Webサーバーなど)を経由して memcached に接続されているのかもしれません。もし、そうならば、見直すべきは iptables ではなく、別の公開サービスの方だと思います。