Hacker lạm dụng các máy chủ Memcached để khai thác các cuộc tấn công DDoS

Tội phạm mạng đã tìm ra cách để lạm dụng các máy chủ Memcached để khai thác các cuộc tấn công DDoS. Điều này có thể dẫn tới việc chiếm đoạt hoàn toàn các trang web và cơ sở hạ tầng Internet quan trọng.

Các nhà nghiên cứu an ninh tại Cloudflare, Arbor Networks và công ty bảo mật Qihoo 360 của Trung Quốc nhận thấy rằng tin tặc đang lạm dụng “Memcached” để khuếch đại các cuộc tấn công DDoS của họ bằng một yếu tố chưa từng thấy là 51.200.

Memcached là một hệ thống lưu trữ phân phối phổ biến mở và dễ triển khai, cho phép các đối tượng được lưu trữ trong bộ nhớ và được thiết kế để làm việc với một số lượng lớn các kết nối mở. Máy chủ Memcached chạy qua cổng TCP hoặc UDP 11211.

Ứng dụng Memcached đã được thiết kế để tăng tốc các ứng dụng web động bằng cách giảm stress trên cơ sở dữ liệu, giúp các quản trị viên tăng hiệu suất và ứng dụng web. Nó được sử dụng rộng rãi bởi hàng ngàn trang web, bao gồm Facebook, Flickr, Twitter, Reddit, YouTube và Github.

Được biết đến bởi chuyên gia Cloudflare, cuộc tấn công này dường như lạm dụng các máy chủ Memcached không được bảo vệ có UDP được kích hoạt  để có thể tấn công DDoS gấp 51.200 lần sức mạnh ban đầu của chúng, làm cho nó trở thành phương pháp khuếch đại nổi bật nhất từng được sử dụng trong tự nhiên cho đến nay.

Làm thế nào để Memcrashed DDoS Amplification Attack hoạt động?

Xu hướng sử dụng giao thức.

Giống như các phương pháp khuếch đại khác, nơi các hacker gửi một yêu cầu nhỏ từ địa chỉ IP giả mạo để có được phản hồi lớn hơn, cuộc tấn công khuếch đại Memcrashed cũng hoạt động bằng cách gửi một yêu cầu giả mạo đến máy chủ đích (máy chủ UDP dễ bị tổn thương) trên cổng 11211 sử dụng IP giả mạo địa chỉ phù hợp với địa chỉ IP của nạn nhân.

Theo nghiên cứu, hầu hết các máy chủ Memcached đang bị lạm dụng để tấn công DDoS khuếch đại được tổ chức tại OVH , Digital Ocean, Sakura và các nhà cung cấp hosting nhỏ khác.

Theo các nhà nghiên cứu, chỉ cần một vài byte của yêu cầu được gửi đến máy chủ dễ bị tổn thương có thể kích hoạt phản ứng lớn hơn hàng chục nghìn lần.

Cloudfair cho biết: “Vào thời đỉnh cao chúng tôi đã thấy lưu lượng truy cập memcached 260 Gbps trong lưu lượng truy cập UDP, đây là một con số khổng lồ đối với một mô hình khuếch đại mới.”

Arbor Networks lưu ý rằng các truy vấn priming Memcached được sử dụng trong các cuộc tấn công này cũng có thể được hướng tới cổng TCP 11211 trên các máy chủ Memcached có thể lạm dụng tấn công.

Tuy nhiên, TCP hiện không được xem là một vector có khả năng phản hồi/khuếch đại cao Memcached vì các truy vấn TCP không thể giả mạo và đáng tin cậy.

Các lỗ hổng tấn công khuếch đại DDoS phổ biến được biết đến trong quá khứ bao gồm các máy chủ độ phân giải tên miền được bảo vệ kém (DNS) không an toàn, có khả năng tăng gấp 50 lần khối lượng và giao thức thời gian mạng (NTP), tăng gần 58 lần lưu lượng truy cập.

Làm thế nào để Fix Memcached Servers?

Một trong những cách đơn giản nhất để ngăn chặn các máy chủ Memcached không bị lạm dụng là phản xạ bằng tường lửa, chặn hoặc giới hạn tốc độ UDP trên cổng nguồn 11211.

Kể từ khi Memcached nghe INADDR_ANY và chạy với sự hỗ trợ UDP được mặc định, các quản trị viên nên vô hiệu hóa hỗ trợ UDP nếu họ không sử dụng nó. Kích thước tấn công tiềm tàng được tạo ra bởi phản hồi Memcached không thể dễ dàng bị các Nhà cung cấp dịch vụ Internet (ISP) bảo vệ, miễn là giả mạo IP được cho phép trên internet.

Theo securitybox

TIN LIÊN QUAN

Hacker lạm dụng các máy chủ Memcached để khai thác các cuộc tấn công DDoS

Các nhà nghiên cứu an ninh tại Cloudflare, Arbor Networks và công ty bảo mật Qihoo 360 của Trung Quốc nhận thấy rằng tin tặc đang lạm dụng “Memcached” để khuếch đại các cuộc tấn công DDoS bằng một yếu tố chưa từng thấy là 51.200.

Tiết lộ mã khai thác DDoS sử dụng máy chủ Memcached

Công cụ DDoS đầu tiên được viết bằng ngôn ngữ lập trình C và hoạt động với một danh sách các máy chủ Memcached tồn tại lỗ hổng đã được liệt kê từ trước. Theo đó, công cụ này bao gồm danh sách gần 17.000 máy chủ Memcached tồn tại lỗ hổng tiềm năng

Điểm danh 5 hình thức tấn công DDoS Q3/2017

Thông tin trên được đưa ra từ Báo cáo xu hướng tấn công DDoS Q3/2017 do Dịch vụ An ninh của Verisign thực hiện và công bố mới đây.

Cảnh báo các cuộc tấn công của ProxyShell trên máy chủ Exchange

Cơ quan Bảo vệ Cơ sở hạ tầng và An ninh mạng CISA, Mỹ cuối tuần qua đã đưa ra một cảnh báo về việc những kẻ xấu đang ra sức khai thác lỗ hổng ProxyShell trên Microsoft Exchange đã được tiết lộ gần đây.

Tin tặc chào bán quyền truy cập máy chủ RPD với giá 3 USD

Hãng bảo mật Trend Micro vừa phát hiện một số Dark Web (chợ đen của tin tặc) đã chào bán chứng chỉ liên quan đến quyền truy cập giao thức điều khiển máy tính từ xa (Remote Desktop Protocol - RDP) với giá chỉ 3 USD. ...

Xu hướng tội phạm mạng như một dịch vụ

Thị trường tội phạm mạng như là một dịch vụ Cybercrime as a Service - CCaaS dường như đã chín muồi trong vài năm qua. Thị trường bắt đầu khi một vài tin tặc đơn lẻ bán các thông tin đăng nhập người dùng và lỗ hổng zero-days trong các phòng chatroom

Đã có một cuộc tấn công quy mô lớn vào hệ thống máy tính của Facebook

Facebook cho biết họ phát hiện ra sự tấn công từ sớm, những kẻ tấn công đã khai thác một tính năng trong đoạn mã của Facebook cho phép chúng chiếm đoạt tài khoản người dùng. Facebook đã sửa lỗ hổng bảo mật và thông báo cho các quan chức thực thi

Ngày đầu Pwn2Own 2018: Trình duyệt Safari của Apple bị các hacker hạ gục đầu tiên

Bắt đầu từ năm 2007, Pwn2Own là một cuộc thi thường niên do chương trình Sáng kiến Zero Day của HP cùng một số nhà nghiên cứu bảo mật, hacker mũ trắng tài trợ với mục đích nhằm tạo sân chơi cho các hacker trên khắp thế giới. Trong cuộc thi, các

THỦ THUẬT HAY

Vừa xem Youtube vừa lướt web chưa bao giờ dễ như vậy

Bạn rất thích xem Youtube nhưng lại vừa muốn vừa lướt web, vừa có thể thưởng thức những video trên ứng dụng này. Vì vậy, mình xin giới thiệu các...

Cách dùng ITbrain của TeamViewer để quét virus từ xa

Tuy nhiên, mới đây, tại phiên bản mới nhất của mình, hãng đã nâng cấp và bổ sung thêm tính năng ITbrain - một công cụ giúp tăng tính bảo mật cho máy tính và quét virus máy tính từ xa khá độc

Cách cài chế độ đổ chuông khi có việc khẩn cấp với Essential Calls

Với ứng dụng Essential calls bạn hoàn toàn có thể nhận thông báo cuộc gọi từ các số điện thoại quan trọng ngay cả khi điện thoại ở chế độ im lặng. Essential Calls Lite sẽ giúp bạn tạo ra danh bạ riêng và đổ chuông khi

2 cách thu nhỏ, phóng to màn hình máy tính mà bạn nên nắm để thao tác nhanh nhạy hơn

Thu nhỏ và phóng to màn hình máy tính thực hiện như thế nào? Trong bài viết chính là 2 cách làm cực kỳ đơn giản và dễ làm dành cho bạn.

Cách đổi mật khẩu VssID miễn phí qua Cổng Dịch vụ công BHXH Việt Nam

Bạn có thể đổi lại mật khẩu VssID miễn phí qua Cổng Dịch vụ công BHXH Việt Nam, không cần phải tốn phí 1000 đồng như trước đó. Sau đây cách đổi mật khẩu VssID miễn phí...

ĐÁNH GIÁ NHANH

Đánh giá Xiaomi Redmi Pro: Thiết kế cao cấp, camera tốt cấu hình mạnh mẽ

Xiaomi Redmi Pro nổi bật với thiết kế kim loại đẹp mắt, cấu hình phần cứng khủng, đặc biệt là cụm camera kép mang đến khả năng chụp ảnh tốt

Đánh giá thiết kế HTC U12+: Đẹp, ấn tượng và rất khác biệt

HTC U12+ vẫn đi kèm hộp lớn hình vuông dạng dẹt quen thuộc từ thời HTC One M7 cách đây tới 5 năm. Phiên bản trong bài viết này sẽ là bản Xanh trong suốt, bản màu sắc độc nhất của HTC U12+. Bên trong hộp màu trắng, có