Các cuộc tấn công khuếch đại DDoS nhắm đến các máy chủ Memcached

By | 11:09 pm | 04/03/2018

memcached-amplification-ddos-attack

Các tội phạm mạng vừa tìm ra cách tấn công DDoS vào các máy chủ Memcached, khiến cho một số hạ tầng Internet và nhiều trang web bị đánh sập.

Trong thời gian gần đây, các nhà nghiên cứu an toàn bảo mật tại Cloudflare, Arbor Networks, và công ty bảo mật Trung Quốc Qihoo 360 đã đưa ra thông báo về việc các tin tặc đang nhắm vào “Memcached” để khuếch đại các cuộc tấn công DDoS của chúng bằng số lượng lớn chưa từng thấy – 51.200 lần.

Memcached là một hệ thống caching phân tán mã nguồn mở phổ biến và dễ cài đặt, cho phép các đối tượng được lưu trữ trong bộ nhớ và được thiết kế chịu được số lượng lớn kết nối đến. Máy chủ Memcached chạy trên TCP hoặc UDP cổng 11211.

Ứng dụng Memcached được thiết kế để tăng tốc độ các ứng dụng web động bằng cách giảm tải trên cơ sở dữ liệu, giúp người quản trị tăng hiệu năng và cân đối ứng dụng web. Nó được sử dụng rộng rãi bởi hàng ngàn trang web, bao gồm Facebook, Flickr, Twitter, Reddit, Youtube và Github.

Được đặt tên là Memcrashed bởi Cloudflare, cuộc tấn công nhắm đến các server Memcached không được bảo vệ có sử dụng UDP để phát tán các cuộc tấn công DDoS gấp 51.200 lần khả năng xử lý của máy chủ, làm cho nó trở thành phương thức khuếch đại mạnh nhất trong lịch sử tính đến hiện tại.

Memcrashed hoạt động như thế nào?

memcached-amplification-ddos-attack (1)

Giống các phương thức khuếch đại khác, tin tặc chỉ gửi một số lượng request nhỏ từ một địa chỉ IP giả mạo để nhận lại số lượng response lớn hơn nhiều, tấn công khuếch đại Memcrashed cũng hoạt động bằng cách gửi một request giả mạo đến máy chủ mục tiêu (máy chủ UDP có lỗ hổng) trên cổng 11211 với địa chỉ IP giả mạo trùng với địa chỉ IP của nạn nhân.

Theo các nhà nghiên cứu, một request chỉ vài bytes gửi tới server chứa lỗ hổng có thể trả về response lớn hơn gấp 10.000 lần.

” Request 15 bytes tương ứng với response 134KB. Tác nhân khuếch đại tới 10.000 lần! Trên thực tế, chúng tôi đã từng thấy request 15 bytes có response trả về 750KB (khuếch đại 51.200 lần),” theo Cloudflare.

Hầu hết các máy chủ Memcached bị tấn công được đặt tại OVH, Digital Ocean, Sakura và một số nhà cung cấp nhỏ khác.

Tổng cộng có khoảng 5.729 địa chỉ IP nguồn kết hợp với các máy chủ Memcached, nhưng trong tương lai có thể xảy ra nhiều cuộc tấn công hơn, theo báo cáo của trang Shodan, hiện có 88.000 máy chủ Memcached đang mở.

Arbor Networks lưu ý rằng các truy vấn Memcached được sử dụng trong các cuộc tấn công này cũng có thể trỏ tới TCP cổng 11211 trên các máy chủ Memcached không an toàn.

Tuy nhiên các vector khuếch đại trên TCP không được coi là nguy cơ cao bởi các truy vấn TCP không thể bị giả mạo.

Khắc phục

Cách đơn giản nhất để bảo vệ máy chủ Memcached khỏi tấn công là tường lửa, chặn hoặc giới hạn UDP trên cổng 11211.

Nếu không sử dụng đến UDP, người quản trị được khuyến cáo nên tắt chức năng này.

Các nhà cung cấp dịch vụ Internet (ISP) cũng khó có thể chống lại tấn công này bởi việc giả mạo IP là được chấp nhận trên Internet.

Theo: thehackernews.com