Skip to content
PortsDB

Référence des ports

Port 11211 (TCP/UDP) – Memcached

Port par défaut du système de cache mémoire distribué Memcached.

tcpudpRegisteredSouvent attaqué

État par défaut

Les anciennes versions de Memcached écoutaient sur toutes les interfaces en TCP et UDP sans authentification. Les paquets modernes désactivent l'UDP et se lient à localhost par défaut, mais des instances exposées subsistent.

Attaques courantes

  • DDoS par réflexion/amplification UDP (amplification record d'environ 50 000x en 2018)
  • Accès non authentifié pour lire ou effacer les données en cache
  • Empoisonnement du cache des données applicatives
  • Divulgation de jetons de session et de secrets stockés en cache

CVE-2018-1000115

Durcissement

  • Désactiver l'UDP (démarrer avec -U 0) sauf si explicitement requis
  • Lier à localhost ou à une interface privée (-l 127.0.0.1)
  • Ne jamais exposer 11211 à Internet ; limiter par pare-feu aux hôtes applicatifs de confiance
  • Activer l'authentification SASL et exiger TLS lorsque pris en charge
  • Maintenir Memcached à jour et limiter le débit en bordure de réseau

Commande nmap

nmap -p11211 --script memcached-info <target>

Remplacez <target> par l’hôte ou la plage que vous êtes autorisé à scanner.

Que tourne sur le port 11211 ?

Le port 11211 est le port par défaut de Memcached, un système de cache d'objets en mémoire distribué et haute performance, utilisé pour accélérer les applications web dynamiques en mettant en cache les résultats de requêtes, les données de session et les objets calculés. Les applications le contactent en TCP, et les anciennes configurations activaient aussi une interface UDP sur le même port.

Pourquoi c'est important pour la sécurité

Memcached n'a aucune authentification par défaut et écoutait historiquement sur toutes les interfaces en UDP. Cette combinaison en a fait le moteur de certaines des plus grandes attaques DDoS jamais enregistrées : en 2018, des attaquants ont abusé de l'UDP 11211 ouvert pour une réflexion/amplification atteignant environ 50 000x (CVE-2018-1000115). Une instance exposée divulgue aussi tout ce qui est en cache — souvent des jetons de session et des données applicatives sensibles.

Comment c'est attaqué

L'attaque phare est la réflexion/amplification UDP : un attaquant envoie de petites requêtes usurpées avec l'adresse source de la victime, et Memcached inonde la victime de réponses massives. En TCP, une instance exposée autorise les lectures, effacements et empoisonnements de cache non authentifiés, exposant ou corrompant les données dont dépendent les applications.

Liste de durcissement

Désactivez l'UDP en démarrant Memcached avec -U 0 sauf si vous en avez réellement besoin. Liez à localhost ou à une interface privée avec -l 127.0.0.1, et n'exposez jamais 11211 à Internet — filtrez-le par pare-feu vers les hôtes applicatifs de confiance. Activez l'authentification SASL, exigez TLS lorsque pris en charge, maintenez Memcached à jour et limitez le débit en bordure de réseau. Utilisez l'extrait nmap ci-dessus pour vérifier l'exposition sur les hôtes que vous êtes autorisé à tester.

Ports liés

Port 6379Port 27017Port 9200Port 3306

Questions fréquentes

Pourquoi Memcached est-il utilisé pour l'amplification DDoS ?
Son interface UDP renvoie de grandes réponses à de minuscules requêtes usurpées, atteignant environ 50 000x d'amplification (CVE-2018-1000115). Désactivez l'UDP avec -U 0 et n'exposez jamais 11211 à Internet.
Memcached dispose-t-il d'une authentification ?
Memcached standard n'en a aucune par défaut, bien que SASL soit disponible. Considérez-le comme non authentifié, liez-le à localhost ou à un réseau privé, et filtrez le port par pare-feu.