Máy chủ Memcached bị tấn công bởi DDoS khuyếch đại khổng lồ

799
16-03-2018
Máy chủ Memcached bị tấn công bởi DDoS khuyếch đại khổng lồ

Tội phạm mạng lạm dụng các máy chủ Memcached để khuếch đại cuộc tấn công DDOs lên 51.200 lần như thế nào?

Theo Bizfly Cloud  tìm hiểu, tin tặc đã bắt đầu lạm dụng hệ quản trị CSDL Memcached nhằm mục đích khuếch đại các cuộc tấn công DDoS (tấn công từ chối dịch vụ). Kẻ tấn công đã lạm dụng lỗ hổng các máy chủ memcached không được bảo vệ có kích hoạt UDP. Cũng không có điểm khác biệt quá lớn với các cuộc tấn công khuếch đại khác, hacker gửi truy vấn đến máy chủ mục tiêu trên cổng 11211 sử dụng địa chỉ IP giả sao cho phù hợp với IP của máy nạn nhân. Truy vấn được gửi đến máy chủ chỉ một vài byte, nhưng response lại lớn hơn hàng chục nghìn lần (chính xác là 51.200 lần), kéo theo một cuộc tấn công đáng kể.

Làm thế nào để Memcrashed DDoS Amplification Attack hoạt động?

Làm thế nào để Memcrashed DDoS Amplification Attack hoạt động

Giống như các phương pháp khuếch đại khác: các hacker gửi một request nhỏ từ một IP không có thật nhằm mục đích có được phản hồi lớn hơn, tương tự như vậy, cuộc tấn công Memcrashed hoạt động bằng cách gửi một yêu cầu giả mạo đến máy chủ đích (máy chủ UDP dễ bị tổn thương) trên cổng 11211, sử dụng IP giả mạo địa chỉ phù hợp với địa chỉ IP của nạn nhân.

Tìm hiểu để Memcrashed DDoS Amplification Attack hoạt động

Theo nghiên cứu, yêu cầu được gửi đến máy chủ chỉ có một vài byte mà thôi, vì máy chủ khá dễ bị tổn thương nên nó có thể kích hoạt phản ứng lơn hơn hàng chục nghìn lần. Hay hiểu theo cách khác, để khai thác tiềm năng tấn công từ máy chủ, nhóm hacker gửi một số lượng nhỏ gói tin UDP được giả mạo địa chỉ gửi chính là địa chỉ IP mục tiêu. Máy chủ memcached trả lời bằng cách gửi số lượng lớn gói tin trả về địa chỉ IP mục tiêu đó.

Cloudflare cho biết: “Vào thời đỉnh cao chúng tôi đã thấy lưu lượng truy cập memcached 260 Gbps trong lưu lượng truy cập UDP, đây là một con số khổng lồ đối với một mô hình khuếch đại mới.

Arbor Networks lưu ý rằng các truy vấn priming Memcached được sử dụng trong các cuộc tấn công này cũng có thể được hướng tới cổng TCP 11211 trên các máy chủ Memcached có thể lạm dụng tấn công.

Johnathan Azaria, chuyên gia nghiên cứu bảo mật dịch vụ phòng chống tấn công DDoS của Imperva ước tính độ phóng đại là 9000 lần cho memcached và 557 lần cho NTP. Ngoài ra, ước tính số lượng các máy chủ memcached có sẵn trên internet chạy cổng 11211 là 93,000 máy chủ. Mặc dù đã sử dụng các số liệu khác nhau, nhưng con số về máy chủ memcached và tiềm lực của cuộc tấn công vẫn lớn chưa từng thấy.

Làm thế nào để sửa lỗi Memcached Servers bị lợi dụng để tấn công DDOs?

Các cuộc tấn công khuếch đại này này gây thiệt hại lớn tới nhiều hệ thống, bao gồm: hệ thống server của nạn nhân; làm tê liệt hoàn toàn server và hệ thống của server memcached bị lợi dụng, vì lúc này băng thông đã bị chiếm hoàn toàn cho việc send traffic UDP tới server nạn nhân.

Hiện tại cuộc tấn công khuếch đại này chỉ khai thác được UDP vì các truy vấn tới TCP không thể giả mạo IP. Do đó, cách phòng tránh hiệu quả và nhanh chóng nhất bây giờ là:

  • Thiết lập tường lửa, chặn hoặc giới hạn kết nối UDP trên cổng 11211. 
  • Hoặc không cho phép kết nối UDP đến Memcached nữa bằng cách sửa như dưới đây:

OPTION="-U 0 -l 127.0.0.1″

trong file /etc/sysconfig/memcached, sau đó restart lại memcached với lệnh: service memcached restart

Chỉ cần các thao tác vô cùng đơn giản, bạn đã tránh được những thiệt hại không mong muốn do tấn công khuếch đại DDOs gây nên. Chúc các bạn thành công!

>> Tìm hiểu thêm về giải pháp Bizfly Anti DDoS dành cho ứng dụng và website thuộc hệ sinh thái điện toán đám mây Bizfly Cloud. Với đội ngũ kỹ thuật viên trình độ cao và kinh nghiệm phòng chống DDoS cho hàng nghìn website lớn nhỏ với lượng truy cập lớn. Giúp doanh nghiệp bảo vệ website của mình một cách toàn diện nhất. 

>>> Xem thêm: DOS, DDOS là gì? Những kỹ thuật hạn chế tấn công DOS, DDOS tốt nhất hiện nay

Giải pháp Bizfly Anti DDoS dành cho ứng dụng và website thuộc hệ sinh thái điện toán đám mây Bizfly Cloud. Với đội ngũ kỹ thuật viên trình độ cao và kinh nghiệm phòng chống DDoS cho hàng nghìn website lớn nhỏ với lượng truy cập lớn. Giúp doanh nghiệp bảo vệ website của mình một cách toàn diện nhất.

Đăng ký sử dụng Bizfly Anti DDoS tại: https://bizflycloud.vn/anti-ddos

SHARE