Poprzedni Następny

Memcached UDP DDoS – opis i rekomendacje

Specjaliści z Arbor Networks opublikowali opis i rekomendację na temat ataku DDoS typu UDP reflection/amplification przeprowadzanego z wykorzystaniem serwerów z uruchomionym systemem cache’owania Memcached. Specyfika tego rozwiązania (brak wbudowanych zabezpieczeń) powoduje dużą podatność na ataki wolumetryczne. Dlatego ten konkretny system nie powinien być wystawione do sieci publicznej. Przekonali się tym administratorzy GitHuba, którzy musieli zmierzyć się z atakiem o sile 1,35 Tbps.

Gdzie wykorzystuje się rozwiązania Memcached

Duża liczba serwerów – głównie w hostingu, rozwiązaniach chmurowych czy IaaS – korzysta z Memcached w celu zwiększenia wydajności aplikacji webowych. To czyni je podatnymi na ten rodzaj ataku. Sytuacja jest o tyle niepokojąca, że dostępnych z internetu serwerów korzystających z Memcached jest naprawdę dużo. Według raportu Shodan.io na dzień 27.02 było to ponad ponad 93 000 urządzeń.

Jak przebiega atak DDoS typu UDP z wykorzystaniem Memcached

Sam atak przebiega typowo – do podatnych serwerów wysyłane są pakiety z zespoofowanym IP, następnie serwery generują odpowiedzi, które kierowane są do docelowego “odbiorcy” ataku. Domyślnie Memcached działa na porcie 11211 (TCP i UDP), więc podstawowym zaleceniem jest zablokowanie dostępu do tych portów z internetu. Zaobserwowane m.in. przez Cloudflare ataki mają bardzo duży współczynnik amplifikacji, sięgający ponad 50 000. Oznacza to, że na każdy wysłany przez atakującego bajt generowana jest odpowiedź o wielkości 50KB (czyli 50 000 razy większa).

Rekordowy DDoS o sile  1,35Tbps (przy 126,9 milionach pakietów na sekundę)

28 lutego o sile takiego ataku przekonali się administratorzy popularnego GitHuba, który tylko dzięki szybkiemu przełączeniu na zewnętrzną usługę antyDDoS był niedostępny jedynie przez kilka minut. Wolumen ruchu w szczycie ataku sięgnął aż 1,35Tbps (przy 126,9 milionach pakietów na sekundę). Takiego ataku nie da się odeprzeć bez pomocy specjalistów.

Jeśli chcesz dowiedzieć się wiec o tym ataku, sprawdź informacje na:

Źródło: Arbor Networks

Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.

Podobne