Memcached †
リフレクションDDoS攻撃の対応 †
- デフォルト設定では「listen: 0.0.0.0」、TCP/UDPオープン、認証無しのため、iptablesやAWSセキュリティグループ等で適切に設定しないとインターネットから接続でき、不正利用される。
- memcached 1.5.6からUDPはデフォルトで無効になった。
- 環境: CentOS 6/7
- CentOS 7のncコマンドは6と違うので注意。ncatのエイリアスに変わったため「-z」は使えない
- 対策: memcachedのオプションを変更する。
監視 †
- memcachedが起動してから増え続ける値もあるので、監視の際は差分で行う項目もある
key | 説明 |
bytes | 使用メモリ |
limit_maxbytes | 最大メモリ。/etc/sysconfig/memcached の CACHESIZE。デフォルト64MB |
evictions | 有効期限に達してないアイテムがmemcacheより追い出されたら増加。CACHESIZEの値を増やすことを検討。監視は差分 |
curr_items | 現在のアイテム数 |
curr_connections | 現在の接続数 |
get_hits | リクエスト時にアイテムが見つかった数。監視は差分 |
get_misses | リクエスト時にアイテムが見つからなかった数。監視は差分 |
statsを取得 †
libmemcached: 便利なCLIツール †
memflush, memslap, memerror, memrm, memstat, memcat, memcpがある
flush_all †
- flush_allはitemを有効期限切れにするだけで、statsの「curr_items」は減らない。
- get後(アイテムは消えている)に、statsを取ると減る
インストール時のエラー対応 †