Menangani server zimbra yang melakukan flooding dengan src port 11211 (Memcached)

Bismillah ,

Kemarin mail server kami melakukan flooding dengan traffic yang bisa sampai 1Gbps

dan membuat semua interface di mikrotik meng-restart (disable-enable) sehingga jaringan menjadi down . Awal kami sempat kebingungan apa penyebab semua interface router tiba tiba disable enable sendiri , langkah awal kami coba untuk melakukan troubleshooting dengan cara trial error melepas satu satu kabel yang terkoneksi langsung ke router , dan ketika kami melepas kebel yang mengarah ke mail server kabel interface router kembali normal (problem ada di mail server ) .

hasil di mail server terdapat historical lonjakan trafic yang sanga besar dari interface  ,

kami simpulkan penyebab interface router mendisable/enable secara tiba tiba karena kriman flooding traffic dari mail server. untuk menangani nya langkah awal kami install iftop yang nanti nya di gunakan untuka menganalisa traffik yang lewat di interface mail server .

dapat di lihat flooding zimbra ini dengan src port 11211 dan jka kita cari port 11211  merupakan port memcached , flooding port tersebut merupakan jenis serangan baru yang pertama publish dari cloudflare  https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/ di publish tgl 27 Feb 2018 by Marek Majkowski , jadi  problem ada di memchaced zimbra ( https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack ) .

sesuai dengan solusi di wiki zimbra di atas maka kita akan aktifkan firewall di ubuntu dan bind memcached hanya untuk localhost,

su - zimbra
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedBindAddress 127.0.0.1 
/opt/zimbra/bin/zmprov ms `zmhostname` zimbraMemcachedClientServerList 127.0.0.1
zmmemcachedctl restart

aktifkan firewall di ubuntu

[email protected]:~# ufw enable

buat file untuk rule firewal zimbra

[email protected]:~# pico /etc/ufw/applications.d/zimbra

buat rule seperti berikut di file /etc/ufw/applications.d/zimbra

[Zimbra]
title=Zimbra Collaboration Server
description=Open source server for email, contacts, calendar, and more.
ports=22,25,80,110,143,161,389,443,465,514,587,993,995,7071,8443,11211/tcp

port di atas adalah port port yang di butuhkan untuk zimbra dan server (rule di atas adalah white list port ) jadi sebelum anda enable rule nya pastikan port ssh anda sudah di masukan dalam whitelist.

allow zimbra
 [email protected]:~# ufw allow zimbra

drop semua koneksi ke port 11211

[email protected]:~# ufw deny 11211

Accept koneksi ke 11211 dari localhost

[email protected]:~# ufw allow from 127.0.0.1 to any port 11211

aktifkan ufw

[email protected]:~# ufw enable

untuk melihat status ufw

[email protected]:~# ufw status verbose
WARN: "Invalid ports in profile 'Zimbra'"
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To Action From
-- ------ ----
22,25,80,110,143,161,389,443,465,514,587,993,995,7071,11211/tcp (Zimbra) ALLOW IN Anywhere 
11211 DENY IN Anywhere 
11211 ALLOW IN 127.0.0.1 
5666 ALLOW IN Anywhere 
8443 ALLOW IN Anywhere 
22,25,80,110,143,161,389,443,465,514,587,993,995,7071,11211/tcp (Zimbra (v6)) ALLOW IN Anywhere (v6) 
11211 (v6) DENY IN Anywhere (v6) 
5666 (v6) ALLOW IN Anywhere (v6) 
8443 (v6) ALLOW IN Anywhere (v6)

[email protected]:~#

grafik setelah beberapa hari dilakukan penanganan di atas

trafik kembali normal , alhamdulillah 🙂

referensi

https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

https://wiki.zimbra.com/wiki/Blocking_Memcached_Attack

protect zimbra from memcached attack

No Comments, Be The First!

Your email address will not be published.

Time limit is exhausted. Please reload CAPTCHA.