چند روز پیش در گزارش ها اعلام کردیم که بزرگ ترین حمله ی منع سرویس توزیع شده مربوط به سایت گیت هاب بود که شدت آن تقریبا ۱٫۳ ترابیت بر ثانیه گزارش شد و این حمله با بهره برداری از سرورهای memcached که به درستی پیکربندی نشده اند رخ داده است. اینک گزارش شده که حمله ای با شدت ۱٫۷ ترابیت بر ثانیه، اوایل این ماه یک شرکت ارائه دهنده سرویس اینترنت در آمریکا را هدف قرار داده که در این حمله نیز از سرورهای memcached بهره برداری شده است.
سرویس memcached یک پروتکل متنباز و توزیعشده برای سیستمهای حافظهی نهان است که باعث میشود تا بار کاری پایگاه دادهها کاهش یافته و سرعت برنامههای کاربردی وب پویا افزایش یاید. کلاینتها بر روی پورت UDP یا TCP شماره ۱۱۲۱۱ با سرور memcached ارتباط برقرار میکنند.
سناریوی حمله نیز همانطور که قبلا اشاره کردیم بسیار ساده است. مهاجم یک درخواست با آدرس IP جعلی (آدرس قربانی) به سمت سرورهای memcached بر روی پورت ۱۱۲۱۱ ارسال میکند. در عوض سرور یک پاسخ حجیم را به سمت سیستم قربانی ارسال خواهد کرد. این نوع از حملات را Memcrashed نامگذاری کردهاند. به گفتهی محققان امنیتی این نوع از حمله، شدت حملات منع سرویس توزیعشده را تا ۵۱۲۰۰ برابر بیشتر میکند.
همانطور که گفتیم اوایل این ماه، در چنین سناریویِ حملهای، وبسایت یک ارائهدهندهی اینترنت در آمریکا هدف حمله قرار گرفته ولی به دلیل سازوکارهایی که این ارائهدهنده تعبیه داشته است، توانسته با حمله مقابله کند هرچند این قربانی یک استثناء محسوب میشود و چنین ترافیک سنگینی میتواند وبسایت را بهطور کامل از کار بیندازد.
متاسفانه علیرغم هشدارهایی که داده شده، تعداد زیادی از سرورهای memcached در سطح اینترنت به راحتی قابل دسترسی هستند و درست پیکربندی نشدهاند و ضروری است تا مدیران سیستمها هرچه سریعتر گامهای لازم برای حفاظت از این سرورها را بردارند. محققان توصیه میکنند اگر به پروتکل UDP نیاز ندارید آن را غیرفعال کنید یا با سیستمهای دیوارهی آتش، نرخ بستههای UDP بر روی پورت ۱۱۲۱۱ را کنترل کنید.
به توسعهدهندگان توصیه میشود اگر آگاهی از انتخاب پروتکل لایهی انتقال ندارند، حتما در این زمینه مطالعه کنند و تا جایی که امکان دارد از پروتکل UDP که امکان جعل آدرس IP در آن وجود دارد استفاده نکنند. ممکن است در ادامه شاهد باشیم که مهاجمان برای متوقف کردن حملات منع سرویس خود، از سازمانهای قربانی، باج درخواست کنند. باید منتظر بمانیم و ببینیم تا چه وقت ۱٫۷ ترابیت بر ثانیه، در صدر بزرگترین حملهی منع سرویس توزیعشده باقی خواهد ماند یا اینکه بهزودی این رکورد شکسته خواهد شد.
