Hacker lạm dụng các máy chủ Memcached để khai thác các cuộc tấn công DDoS

Tội phạm mạng đã tìm ra cách để lạm dụng các máy chủ Memcached để khai thác các cuộc tấn công DDoS. Điều này có thể dẫn tới việc chiếm đoạt hoàn toàn các trang web và cơ sở hạ tầng Internet quan trọng.

Các nhà nghiên cứu an ninh tại Cloudflare, Arbor Networks và công ty bảo mật Qihoo 360 của Trung Quốc nhận thấy rằng tin tặc đang lạm dụng “Memcached” để khuếch đại các cuộc tấn công DDoS của họ bằng một yếu tố chưa từng thấy là 51.200.

Memcached là một hệ thống lưu trữ phân phối phổ biến mở và dễ triển khai, cho phép các đối tượng được lưu trữ trong bộ nhớ và được thiết kế để làm việc với một số lượng lớn các kết nối mở. Máy chủ Memcached chạy qua cổng TCP hoặc UDP 11211.

Ứng dụng Memcached đã được thiết kế để tăng tốc các ứng dụng web động bằng cách giảm stress trên cơ sở dữ liệu, giúp các quản trị viên tăng hiệu suất và ứng dụng web. Nó được sử dụng rộng rãi bởi hàng ngàn trang web, bao gồm Facebook, Flickr, Twitter, Reddit, YouTube và Github.

Được biết đến bởi chuyên gia Cloudflare, cuộc tấn công này dường như lạm dụng các máy chủ Memcached không được bảo vệ có UDP được kích hoạt  để có thể tấn công DDoS gấp 51.200 lần sức mạnh ban đầu của chúng, làm cho nó trở thành phương pháp khuếch đại nổi bật nhất từng được sử dụng trong tự nhiên cho đến nay.

Làm thế nào để Memcrashed DDoS Amplification Attack hoạt động?

Xu hướng sử dụng giao thức.

Giống như các phương pháp khuếch đại khác, nơi các hacker gửi một yêu cầu nhỏ từ địa chỉ IP giả mạo để có được phản hồi lớn hơn, cuộc tấn công khuếch đại Memcrashed cũng hoạt động bằng cách gửi một yêu cầu giả mạo đến máy chủ đích (máy chủ UDP dễ bị tổn thương) trên cổng 11211 sử dụng IP giả mạo địa chỉ phù hợp với địa chỉ IP của nạn nhân.

Theo nghiên cứu, hầu hết các máy chủ Memcached đang bị lạm dụng để tấn công DDoS khuếch đại được tổ chức tại OVH , Digital Ocean, Sakura và các nhà cung cấp hosting nhỏ khác.

Theo các nhà nghiên cứu, chỉ cần một vài byte của yêu cầu được gửi đến máy chủ dễ bị tổn thương có thể kích hoạt phản ứng lớn hơn hàng chục nghìn lần.

Cloudfair cho biết: “Vào thời đỉnh cao chúng tôi đã thấy lưu lượng truy cập memcached 260 Gbps trong lưu lượng truy cập UDP, đây là một con số khổng lồ đối với một mô hình khuếch đại mới.”

Arbor Networks lưu ý rằng các truy vấn priming Memcached được sử dụng trong các cuộc tấn công này cũng có thể được hướng tới cổng TCP 11211 trên các máy chủ Memcached có thể lạm dụng tấn công.

Tuy nhiên, TCP hiện không được xem là một vector có khả năng phản hồi/khuếch đại cao Memcached vì các truy vấn TCP không thể giả mạo và đáng tin cậy.

Các lỗ hổng tấn công khuếch đại DDoS phổ biến được biết đến trong quá khứ bao gồm các máy chủ độ phân giải tên miền được bảo vệ kém (DNS) không an toàn, có khả năng tăng gấp 50 lần khối lượng và giao thức thời gian mạng (NTP), tăng gần 58 lần lưu lượng truy cập.

Làm thế nào để Fix Memcached Servers?

Một trong những cách đơn giản nhất để ngăn chặn các máy chủ Memcached không bị lạm dụng là phản xạ bằng tường lửa, chặn hoặc giới hạn tốc độ UDP trên cổng nguồn 11211.

Kể từ khi Memcached nghe INADDR_ANY và chạy với sự hỗ trợ UDP được mặc định, các quản trị viên nên vô hiệu hóa hỗ trợ UDP nếu họ không sử dụng nó. Kích thước tấn công tiềm tàng được tạo ra bởi phản hồi Memcached không thể dễ dàng bị các Nhà cung cấp dịch vụ Internet (ISP) bảo vệ, miễn là giả mạo IP được cho phép trên internet.

Theo securitybox

TIN LIÊN QUAN

Hacker lạm dụng các máy chủ Memcached để khai thác các cuộc tấn công DDoS

Các nhà nghiên cứu an ninh tại Cloudflare, Arbor Networks và công ty bảo mật Qihoo 360 của Trung Quốc nhận thấy rằng tin tặc đang lạm dụng “Memcached” để khuếch đại các cuộc tấn công DDoS bằng một yếu tố chưa từng thấy là 51.200.

Tiết lộ mã khai thác DDoS sử dụng máy chủ Memcached

Công cụ DDoS đầu tiên được viết bằng ngôn ngữ lập trình C và hoạt động với một danh sách các máy chủ Memcached tồn tại lỗ hổng đã được liệt kê từ trước. Theo đó, công cụ này bao gồm danh sách gần 17.000 máy chủ Memcached tồn tại lỗ hổng tiềm năng

Điểm danh 5 hình thức tấn công DDoS Q3/2017

Thông tin trên được đưa ra từ Báo cáo xu hướng tấn công DDoS Q3/2017 do Dịch vụ An ninh của Verisign thực hiện và công bố mới đây.

Cảnh báo các cuộc tấn công của ProxyShell trên máy chủ Exchange

Cơ quan Bảo vệ Cơ sở hạ tầng và An ninh mạng CISA, Mỹ cuối tuần qua đã đưa ra một cảnh báo về việc những kẻ xấu đang ra sức khai thác lỗ hổng ProxyShell trên Microsoft Exchange đã được tiết lộ gần đây.

Tin tặc chào bán quyền truy cập máy chủ RPD với giá 3 USD

Hãng bảo mật Trend Micro vừa phát hiện một số Dark Web (chợ đen của tin tặc) đã chào bán chứng chỉ liên quan đến quyền truy cập giao thức điều khiển máy tính từ xa (Remote Desktop Protocol - RDP) với giá chỉ 3 USD. ...

Xu hướng tội phạm mạng như một dịch vụ

Thị trường tội phạm mạng như là một dịch vụ Cybercrime as a Service - CCaaS dường như đã chín muồi trong vài năm qua. Thị trường bắt đầu khi một vài tin tặc đơn lẻ bán các thông tin đăng nhập người dùng và lỗ hổng zero-days trong các phòng chatroom

Đã có một cuộc tấn công quy mô lớn vào hệ thống máy tính của Facebook

Facebook cho biết họ phát hiện ra sự tấn công từ sớm, những kẻ tấn công đã khai thác một tính năng trong đoạn mã của Facebook cho phép chúng chiếm đoạt tài khoản người dùng. Facebook đã sửa lỗ hổng bảo mật và thông báo cho các quan chức thực thi

Ngày đầu Pwn2Own 2018: Trình duyệt Safari của Apple bị các hacker hạ gục đầu tiên

Bắt đầu từ năm 2007, Pwn2Own là một cuộc thi thường niên do chương trình Sáng kiến Zero Day của HP cùng một số nhà nghiên cứu bảo mật, hacker mũ trắng tài trợ với mục đích nhằm tạo sân chơi cho các hacker trên khắp thế giới. Trong cuộc thi, các

THỦ THUẬT HAY

Sử dụng bộ lọc giúp tự động xóa tin nhắn từ một người cụ thể trong Gmail

Nếu không bạn có thể nhấp vào nút “Search Options” ở bên phải hộp tìm kiếm gần đầu trang và sau đó nhập email hoặc tên của người mà bạn muốn tạo bộ lọc trong hộp “From”. Các bước tiếp theo tương tự bất kể bạn đã chọn

Những Official Account cực kỳ hữu ích trên Zalo

Cũng tại đây bạn có thể tìm kiếm thông tin mình cần một cách nhanh chóng, từ tra cứu thông tin sức khỏe, lịch cắt điện, địa điểm tiêm chủng, địa điểm vui chơi, giải trí, địa điểm ăn uống...

Chuẩn PCI express 4.0 (PCIe 4.0) là gì? Liệu có nên nâng cấp không?

Chuẩn PCI express 4.0 (PCIe 4.0) được ra mắt năm 2017, một bản nâng cấp về tốc độ so với các phiên bản trước đó. Nếu bạn đang muốn nâng cấp máy để cải thiện tốc độ thì nên lựa chọn phần cứng có chuẩn kết nối PCIe 4.0.

Hướng dẫn chụp màn hình Samsung Galaxy Note 8

Chụp ảnh màn hình là một trong những tính năng thiết yếu của smartphone. Tuy nhiên, không phải điện thoại nào cũng có cách chụp màn hình giống nhau. Hôm nay, Quản Trị Mạng sẽ hướng dẫn các bạn chụp màn hình Samsung

Microsoft vô hiệu hóa VBScript trên IE 11 cho các trang web trên Internet Zone và Restricted Sites

Microsoft sẽ vô hiệu hóa VBScript trên IE 11 cho các trang web trên Internet Zone và Restricted Sites Zone để người dùng duyệt web an toàn hơn và tốt hơn. Sau khi vô hiệu hóa VBScript trên trình duyệt, IE 11 IE11 sẽ

ĐÁNH GIÁ NHANH

Toyota Vios 1.5G 2019: Chiếc xe tối ưu cho những người thích bền bỉ, rộng rãi, ít hỏng vặt

Tại một thị trường không quá lớn như Việt Nam, việc một dòng xe đạt cột mốc doanh số 100.000 đơn vị là tương đối hiếm, và bất kể dòng xe nào làm được điều này thì đều xứng đáng được tôn

Đánh giá chi tiết OPPO F7: Không chỉ còn là chiếc điện thoại chuyên về selfie

Nếu bỏ qua chất liệu thiết kế chưa sang trọng hay thiếu đi camera kép thì OPPO F7 là chiếc điên thoại toàn diện và đáng cân nhắc bậc nhất khi bạn muốn sở hữu một chiếc smartphone trong tầm giá 8 triệu đồng. Đây cũng là

So sánh Canon 800D và Nikon D5600

Canon đã thay thế bộ ba 700D, 750D và 760D bằng một sản phẩm có tính vượt trội hơn là chiếc 800D. Trong khi Nikon cũng không chịu thua kém với D5600. Bài so sánh Canon 800D và Nikon D5600 dưới đây sẽ cho chúng ta cái