محققان امنیتی هشدار دادند که مهاجمان برای اجرای حملات منع سرویس توزیع شده از پروتکل memcached سوء استفاده می کنند. memcached یک سیستم حافظه ی نهان توزیع شده و متن باز است که برای کار با تعداد زیاد و گسترده ای از ارتباطات طراحی شده است. کلاینت ها می توانند به سرورهای memcached با استفاده از پروتکل های UDP و TCP بر روی پورت شماره ی ۱۱۲۱۱ متصل شوند.
محققان متوجه شدند که از این پروتکل برای حملات تشدید DDoS استفاده میشود و این نوع از حمله را Memcrashed نامگذاری کردند. به نظر میرسد مهاجمان از سرورهای محافظتنشدهی memcached که بر روی آنها پروتکل UDP فعال است، بهرهبرداری میکنند. مانند دیگر حملات تشدید DDoS، مهاجم یک درخواست بر روی پورت ۱۱۲۱۱ به سمت سرور memcached ارسال میکند که در این درخواست، آدرس با آدرس IP قربانی جعل شده است. اندازهی این درخواست میتواند در حد چند بایت باشد ولی پاسخی که قرار است سرور به سمت قربانی ارسال میکند، دهها هزار بار بزرگتر خواهد بود و قربانی تحت حملهی شدیدی قرار خواهد گرفت.
محققان در مشاهدات خود شدت حملات را ۲۶۰ گیگابیت بر ثانیه و ۵۰۰ گیگابیت بر ثانیه مشاهده کردهاند. همانطور که میدانیم پروتکل UPD به دلیل نداشتن مرحلهی دستدهی سهگانه برای حملات تشدید DDoS و جعل آدرس قربانی بسیار مناسب هستند. گفته میشود در ماه نوامبر، محققان امنیتیِ چینی، در مورد چنین حملاتی با بهرهبرداری از پروتکل memcached هشدار داده بودند.
در حملاتی که صورت گرفته از تمامی سرورهای memcached در سراسر دنیا بهرهبرداری شده است ولی بیشترین آنها در آمریکای شمالی و اروپا قرار داشتهاند. بیشتر این سرورها نیز توسط ارائهدهندگانی مانند OVH، DigitalOcean و Sakura میزبانی میشوند. در بررسیهای صورتگرفته، مشخص شده که حملات از سمت ۵۷۰۰ آدرس IP منحصربفرد انجام شده ولی پیشبینی میشود حملات در آینده شدیدتر نیز بشود چرا که بررسیهای ابزار Shodan نشان میدهد که نزدیک به ۸۸ هزار سرور محافظتنشده در سطح جهان وجود دارد. بیشتر این سرورها نیز در آمریکا، چین و فرانسه قرار دارند.
محققان به مدیران سامانهها و سرورها توصیه کردهاند در صورتی که نیازی به پروتکل UDP وجود ندارد، آن را غیرفعال کنند و مطمئن شوند که سرویسهای آنها در سطح وب بهطور عمومی در دسترس نیستند. ارائهدهندگان سرویس اینترنت نیز میتوانند با تنظیم و پیکربندی مناسب این سرورها و جلوگیری از جعل آدرس IP به کاهش حملات تشدید DDoS کمک کنند.