Tội phạm mạng lạm dụng các máy chủ Memcached để khuếch đại cuộc tấn công DDOs lên 51.200 lần như thế nào?
Tin tặc đã bắt đầu lạm dụng hệ quản trị CSDL Memcached nhằm mục đích khuếch đại các cuộc tấn công DDOs (tần công từ chối dịch vụ). Vậy Memcached là gì? Đây là một hệ thống lưu trữ bộ nhớ đệm mã nguồn mở được thiết kế để xử lý một số lượng lớn các kết nối mở. Máy khách và máy chủ Memcached liên hệ với nhau thông qua cổng TCP hoặc UDP 11211. Memcached được phát triển để tăng tốc ứng dụng web động bằng cách giảm áp lực lên các SCDL, có thể kể đến các wbsite nổi tiếng đang sử dụng dịch vụ này đó là Facebook, Youtube, Twitter, Reddit, Github …Các cuộc tấn công khuếch đại DDOs được gọi bằng cái tên: Memcrashed.
Kẻ tấn công đã lạm dụng lỗ hổng các máy chủ memcached không được bảo vệ có kích hoạt UDP. Cũng không có điểm khác biệt quá lớn với các cuộc tấn công khuếch đại khác, hacker gửi truy vấn đến máy chủ mục tiêu trên cổng 11211 sử dụng địa chỉ IP giả sao cho phù hợp với IP của máy nạn nhân. Truy vấn được gửi đến máy chủ chỉ một vài byte, nhưng response lại lớn hơn hàng chục nghìn lần (chính xác là 51.200 lần), kéo theo một cuộc tấn công đáng kể.
Làm thế nào để Memcrashed DDoS Amplification Attack hoạt động?
Giống như các phương pháp khuếch đại khác: các hacker gửi một request nhỏ từ một IP không có thật nhằm mục đích có được phản hồi lớn hơn, tương tự như vậy, cuộc tấn công Memcrashed hoạt động bằng cách gửi một yêu cầu giả mạo đến máy chủ đích (máy chủ UDP dễ bị tổn thương) trên cổng 11211, sử dụng IP giả mạo địa chỉ phù hợp với địa chỉ IP của nạn nhân.
Theo nghiên cứu, yêu cầu được gửi đến máy chủ chỉ có một vài byte mà thôi, vì máy chủ khá dễ bị tổn thương nên nó có thể kích hoạt phản ứng lơn hơn hàng chục nghìn lần. Hay hiểu theo cách khác, để khai thác tiềm năng tấn công từ máy chủ, nhóm hacker gửi một số lượng nhỏ gói tin UDP được giả mạo địa chỉ gửi chính là địa chỉ IP mục tiêu. Máy chủ memcached trả lời bằng cách gửi số lượng lớn gói tin trả về địa chỉ IP mục tiêu đó.
Cloudflare cho biết: “Vào thời đỉnh cao chúng tôi đã thấy lưu lượng truy cập memcached 260 Gbps trong lưu lượng truy cập UDP, đây là một con số khổng lồ đối với một mô hình khuếch đại mới.
Arbor Networks lưu ý rằng các truy vấn priming Memcached được sử dụng trong các cuộc tấn công này cũng có thể được hướng tới cổng TCP 11211 trên các máy chủ Memcached có thể lạm dụng tấn công.
Johnathan Azaria, chuyên gia nghiên cứu bảo mật dịch vụ phòng chống tấn công DDoS của Imperva ước tính độ phóng đại là 9000 lần cho memcached và 557 lần cho NTP. Ngoài ra, ước tính số lượng các máy chủ memcached có sẵn trên internet chạy cổng 11211 là 93,000 máy chủ. Mặc dù đã sử dụng các số liệu khác nhau, nhưng con số về máy chủ memcached và tiềm lực của cuộc tấn công vẫn lớn chưa từng thấy.
Làm thế nào để sửa lỗi Memcached Servers bị lợi dụng để tấn công DDOs?
Các cuộc tấn công khuếch đại này này gây thiệt hại lớn tới nhiều hệ thống, bao gồm: hệ thống server của nạn nhân; làm tê liệt hoàn toàn server và hệ thống của server memcached bị lợi dụng, vì lúc này băng thông đã bị chiếm hoàn toàn cho việc send traffic UDP tới server nạn nhân.
Hiện tại cuộc tấn công khuếch đại này chỉ khai thác được UDP vì các truy vấn tới TCP không thể giả mạo IP. Do đó, cách phòng tránh hiệu quả và nhanh chóng nhất bây giờ là:
– Thiết lập tường lửa, chặn hoặc giới hạn kết nối UDP trên cổng 11211.
– Hoặc không cho phép kết nối UDP đến Memcached nữa bằng cách sửa như dưới đây:
OPTION=”-U 0 -l 127.0.0.1″
trong file /etc/sysconfig/memcached, sau đó restart lại memcached với lệnh: service memcached restart
Chỉ cần các thao tác vô cùng đơn giản, bạn đã tránh được những thiệt hại không mong muốn do tấn công khuếch đại DDOs gây nên. Chúc các bạn thành công!
