بهره‌برداری از پروتکل Memcached برای تشدید حملات منع سرویس توزیع‌شده

 

محققان امنیتی هشدار دادند که مهاجمان برای اجرای حملات منع سرویس توزیع شده از پروتکل memcached سوء استفاده می کنند. memcached یک سیستم حافظه ی نهان توزیع شده و متن باز است که برای کار با تعداد زیاد و گسترده ای از ارتباطات طراحی شده است. کلاینت ها می توانند به سرورهای memcached با استفاده از پروتکل های UDP و TCP بر روی پورت شماره ی ۱۱۲۱۱ متصل شوند.


محققان متوجه شدند که از این پروتکل برای حملات تشدید DDoS استفاده می‌شود و این نوع از حمله را Memcrashed نام‌گذاری کردند. به نظر می‌رسد مهاجمان از سرورهای محافظت‌نشده‌ی memcached که بر روی آن‌ها پروتکل UDP فعال است، بهره‌برداری می‌کنند. مانند دیگر حملات تشدید DDoS، مهاجم یک درخواست بر روی پورت ۱۱۲۱۱ به سمت سرور  memcached ارسال می‌کند که در این درخواست، آدرس با آدرس IP قربانی جعل شده است. اندازه‌ی این درخواست می‌تواند در حد چند بایت باشد ولی پاسخی که قرار است سرور به سمت قربانی ارسال می‌کند، ده‌ها هزار بار بزرگ‌تر خواهد بود و قربانی تحت حمله‌ی شدیدی قرار خواهد گرفت.


محققان در مشاهدات خود شدت حملات را ۲۶۰ گیگابیت بر ثانیه و ۵۰۰ گیگابیت بر ثانیه مشاهده کرده‌اند. همان‌طور که می‌دانیم پروتکل UPD به دلیل نداشتن مرحله‌ی دست‌دهی سه‌گانه برای حملات تشدید DDoS و جعل آدرس قربانی بسیار مناسب هستند. گفته می‌شود در ماه نوامبر، محققان امنیتیِ چینی، در مورد چنین حملاتی با بهره‌برداری از پروتکل memcached هشدار داده بودند.


در حملاتی که صورت گرفته از تمامی سرورهای memcached در سراسر دنیا بهره‌برداری شده است ولی بیشترین آن‌ها در آمریکای شمالی و اروپا قرار داشته‌اند. بیشتر این سرورها نیز توسط ارائه‌دهندگانی مانند OVH، DigitalOcean و Sakura میزبانی می‌شوند. در بررسی‌های صورت‌گرفته، مشخص شده که حملات از سمت ۵۷۰۰ آدرس IP منحصربفرد انجام شده ولی پیش‌بینی می‌شود حملات در آینده شدیدتر نیز بشود چرا که بررسی‌های ابزار Shodan نشان می‌دهد که نزدیک به ۸۸ هزار سرور محافظت‌نشده در سطح جهان وجود دارد. بیشتر این سرورها نیز در آمریکا، چین و فرانسه قرار دارند.


محققان به مدیران سامانه‌ها و سرورها توصیه کرده‌اند در صورتی که نیازی به پروتکل UDP وجود ندارد، آن را غیرفعال کنند و مطمئن شوند که سرویس‌های آن‌ها در سطح وب به‌طور عمومی در دسترس نیستند. ارائه‌دهندگان سرویس اینترنت نیز می‌توانند با تنظیم و پیکربندی مناسب این سرورها و جلوگیری از جعل آدرس IP به کاهش حملات تشدید DDoS کمک کنند.
 

منبع

پست‌های مشابه

Leave a Comment