Tấn công DDOS thông qua Memcached. Vào 1/3/2018 Việt Nam và thế giới đã ghi nhận hàng loạt các cuộc tấn công từ chối dịch vụ thông qua lỗ hổng memcache. Các hacker đã tìm ra cách để lạm dụng các máy chủ Memcached được sử dụng rộng rãi để khuếch tán hơn 51.000 lần sức mạnh các cuộc tấn công DDoS ban đầu. Việc này có thể dẫn tới việc hạ gục các trang web và cơ sở hạ tầng Internet có băng thông cũng như hạ tầng tốt nhất.
Memcached là một hệ thống lưu trữ bản sao các đối tượng và dữ liệu được truy cập nhiều lần để tăng tốc độc truy xuất. Mục đích chính của nó là để tăng tốc độ ứng dụng web bằng cách truy vấn cơ sở dữ liệu bộ nhớ đệm, nội dung, hoặc kết quả tính toán khác.
Tuy nhiên thì một lỗ hỗng của Memcached đã bị các hacker lợi dụng để tấn công DDos với sức mạnh lớn gấp khoảng 50.000 lần so với dạng thông thường và có khả năng hạ gục các website lớn cũng như một hạ tầng Internet. Các nhà bảo mật ở Cloudflare đã đặt cho phương thức tấn công này một cái tên là: Memcrashed
Memcached được sử dụng khá rộng rãi vì tính hiệu quả của nó cũng như nó là một mã nguồn mở. Memcached chạy trên cổng TCP/UDP 11211. Chính vì hiệu năng cao mà Memcached được sử dụng trên rất nhiều website lớn như : Facebook, Flickr, Twitter, Reddit, YouTube, and Github.
Github đã bị hứng chịu một cuộc tấn công DDos lớn nhất trong lịch sử với gói tin được bắn ra lên tới gần 1,3Tbps, hãy tưởng tượng một cổng mạng bình thường sẽ chịu tải được 1-5Gbps thì con số 1,3Tbps nó lớn tới mức nào, tuy nhiên bằng một cách thần kỳ thì Github vẫn an toàn.
Vậy cách hoạt động của Memcrashed ra sao? các bạn hãy xem phần dưới đây:
Cũng giống như các phương pháp tấn công khuếch đại khác khi mà Hackser sẽ gửi một gói tin nhỏ từ một địa chỉ nặc danh đến server để nó phản hồi một gói khác lớn hơn. Cách hoạt động của Memcrashed ở đây cũng vậy, nó gửi yêu cầu giả mạo đến Server mục tiêu trên cổng 11211 sử dụng IP nặc danh khớp với IP của nạn nhân.
Theo như các nhà nghiên cứu thì chỉ cần một yêu cầu rất nhỏ thôi chỉ vài byte được gửi tới thì cũng có thể tạo ra gói phản hồi lớn tới 10 nghìn lần.
Một chuyên gia của Cloudflare nói rằng :
“Một gói tin 15 bytes gửi đi có thể tạo ra 134kB phản hồi. Còn trong thực tế có lần chúng tôi đã nhận được tới 750kB nghĩa là nó lớn gấp 51200 lần.”
Cũng theo các nhà nghiên cứu phần lớn các server dùng Memcached được đặt tại OVH, Digital Ocean, Sakura và một số nhà cung cấp nhỏ khác.
So sánh với một số phương pháp DDos khác như DNS khuếch đại tầm 50 lần hay NTP khoảng 58 lần thì Memcrashed nằm ở tầm cao hoàn toàn khác hẳn với khoảng 50.000.
Hiện tại thì có khoảng 5729 IP khác nhau nằm trên các server chạy Memcached có thể bị lợi dụng lỗ hổng, tuy nhiên thì sốlượng còn có thể lớn hơn rất nhiều vì có khoảng 88.000 server đang chạy Memcached theo như hình dưới.
Vậy làm sao để giải quyết được vấn đề đau đầu này:
- Cách đơn giản nhất là ta sẽ chặn UDP cổng 11211 trên tường lửa của server.
- Memcached lắng nghe trên INADDR_ANY và chạy trên UDP vốn đã được bật sẵn. Vậy thì cách thứ hai là ta có thể tăt UDP đi nếu không thực sự cần thiết.
Đọc thêm:
Cấu hình bảo mật cho Server Linux không bị tấn công từ lỗi Memcached
Cách xóa memcached trên server linux
Dịch vụ cho thuê VPS - Thuê máy chủ ảo - Miễn phí quản trị VPS
