مشاهده‌ی حمله‌ی جدید DDoS با بهره‌برداری از memcached با شدت ۱٫۷ ترابیت بر ثانیه

مشاهده‌ی حمله‌ی جدید DDoS با بهره‌برداری از memcached با شدت ۱٫۷ ترابیت بر ثانیه

سه شنبه, ۱۵ اسفند, ۱۳۹۶ ساعت ۱۲:۰۲

 

چند روز پیش در گزارش ها اعلام کردیم که بزرگ ترین حمله ی منع سرویس توزیع شده مربوط به سایت گیت هاب بود که شدت آن تقریبا ۱٫۳ ترابیت بر ثانیه گزارش شد و این حمله با بهره برداری از سرورهای memcached که به درستی پیکربندی نشده اند رخ داده است. اینک گزارش شده که حمله ای با شدت ۱٫۷ ترابیت بر ثانیه، اوایل این ماه یک شرکت ارائه دهنده سرویس اینترنت در آمریکا را هدف قرار داده که در این حمله نیز از سرورهای memcached بهره برداری شده است.


سرویس memcached یک پروتکل متن‌باز و توزیع‌شده برای سیستم‌های حافظه‌ی نهان است که باعث می‌شود تا بار کاری پایگاه داده‌ها کاهش یافته و سرعت برنامه‌های کاربردی وب پویا افزایش یاید. کلاینت‌ها بر روی پورت UDP یا TCP شماره ۱۱۲۱۱ با سرور memcached ارتباط برقرار می‌کنند.


سناریوی حمله نیز همان‌طور که قبلا اشاره کردیم بسیار ساده است. مهاجم یک درخواست با آدرس IP جعلی (آدرس قربانی) به سمت سرورهای memcached بر روی پورت ۱۱۲۱۱ ارسال می‌کند. در عوض سرور یک پاسخ حجیم را به سمت سیستم قربانی ارسال خواهد کرد. این نوع از حملات را Memcrashed نام‌گذاری کرده‌اند. به گفته‌ی محققان امنیتی این نوع از حمله، شدت حملات منع سرویس توزیع‌شده را تا ۵۱۲۰۰ برابر بیشتر می‌کند.


همان‌طور که گفتیم اوایل این ماه، در چنین سناریویِ حمله‌ای، وب‌سایت یک ارائه‌دهنده‌ی اینترنت در آمریکا هدف حمله قرار گرفته ولی به دلیل سازوکارهایی که این ارائه‌دهنده تعبیه داشته است، توانسته با حمله مقابله کند هرچند این قربانی یک استثناء محسوب می‌شود  و چنین ترافیک سنگینی می‌تواند وب‌سایت را به‌طور کامل از کار بیندازد.

 

                                      
متاسفانه علی‌رغم هشدارهایی که داده شده، تعداد زیادی از سرورهای memcached در سطح اینترنت به راحتی قابل دسترسی هستند و درست پیکربندی نشده‌اند و ضروری است تا مدیران سیستم‌ها هرچه سریع‌تر گام‌های لازم برای حفاظت از این سرورها را بردارند. محققان توصیه می‌کنند اگر به پروتکل UDP نیاز ندارید آن را غیرفعال کنید یا با سیستم‌های دیواره‌ی آتش، نرخ بسته‌های UDP بر روی پورت ۱۱۲۱۱ را کنترل کنید. 


به توسعه‌دهندگان توصیه می‌شود اگر آگاهی از انتخاب پروتکل لایه‌ی انتقال ندارند، حتما در این زمینه مطالعه کنند و تا جایی که امکان دارد از پروتکل UDP که امکان جعل آدرس IP در آن وجود دارد استفاده نکنند. ممکن است در ادامه شاهد باشیم که مهاجمان برای متوقف کردن حملات منع سرویس خود، از سازمان‌های قربانی، باج درخواست کنند. باید منتظر بمانیم و ببینیم تا چه وقت ۱٫۷ ترابیت بر ثانیه، در صدر بزرگ‌ترین حمله‌ی منع سرویس توزیع‌شده باقی خواهد ماند یا اینکه به‌زودی این رکورد شکسته خواهد شد.
 

منبع


دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دوازده + بیست =