Tấn công Memcached


Tấn công Memcached

Một cuộc tấn công DDoS (từ chối dịch vụ phân tán) Memcached là một kiểu tấn công mạng trong đó kẻ tấn công có xu hướng lái quá tải vào nạn nhân mục tiêu có lưu lượng truy cập internet.


Kẻ tấn công giả mạo yêu cầu thỏa hiệp Ghi nhớ UDP các máy chủ tràn ngập máy nạn nhân với lưu lượng quá tải, có khả năng lạm dụng các tài nguyên trên mục tiêu.

Trong khi máy mục tiêu bị quá tải nặng lưu lượng truy cập web, hệ thống trở nên bế tắc không thể xử lý bất kỳ yêu cầu mới nào dẫn đến các cuộc tấn công DDoS. Nếu bạn vẫn còn Memcached là gì? Memcached là một hệ thống lưu trữ cơ sở dữ liệu để tăng tốc mạngtrang web. Một trong những ví dụ tốt nhất về một công ty nhận được một Tấn công DDoS được ghi nhớ là Cloudflare.

Các trung tâm dữ liệu của Cloudflare đã nhận được một số lượng tương đối các cuộc tấn công Memcached trên máy chủ của nó. CloudFare lọc UDP lưu lượng truy cập ở rìa mạng, giảm thiểu rủi ro do các cuộc tấn công phóng đại như mô tả ở trên.

Làm thế nào để một cuộc tấn công Memcached hoạt động?

Một cuộc tấn công DDoS Memcached hoạt động theo cách tương tự như khác tấn công khuếch đại chẳng hạn như ứng dụng NTP và khuếch đại DNS. Cuộc tấn công hoạt động bằng cách truyền các yêu cầu giả mạo đến máy nạn nhân với mục tiêu chính là quá tải lưu lượng, sau đó đáp ứng với lượng dữ liệu tốt hơn yêu cầu ban đầu, làm tăng đáng kể lưu lượng giao thông.

Các cuộc tấn công DDoS được ghi nhớ giống như khi bạn gọi một nhà hàng và nói rằng bạn muốn mọi thứ trong thực đơn và bảo họ hãy gọi lại cho họ và lặp lại đơn hàng. Khi nhà hàng gọi lại cho họ và lặp lại đơn đặt hàng, có nghĩa là rất nhiều thông tin được truyền đi trong thời gian đó. Khi nhà hàng hỏi số, thì đó là số điện thoại của nạn nhân điện thoại. Mục tiêu nhận được một đống thông tin mà họ đã yêu cầu.

Điều này tấn công khuếch đại là có thể bởi vì Ghi nhớ dịch vụ có thể hoạt động trên giao thức UDP. Giao thức UDP cho phép gửi dữ liệu mà không cần khởi tạo giao thức bắt tay ba chiều là giao thức mạng cho phép mạng được thiết lập giữa người gửi và người nhận. Cổng udp được sử dụng vì máy chủ đích không bao giờ được thông báo về việc họ có nhận được dữ liệu hay không, cho phép một lượng lớn dữ liệu được truyền trên máy nạn nhân mà không có sự đồng ý.

Làm thế nào để một cuộc tấn công Memcached hoạt động?

Một cuộc tấn công Memcached hoạt động theo 4 bước:

  • Kẻ tấn công sửa một lượng lớn dữ liệu trên máy chủ Memcached dễ bị tấn công
  • Tiếp theo, kẻ tấn công giả mạo HTTP nhận được yêu cầu từ địa chỉ IP của nạn nhân mục tiêu
  • Máy chủ Memcached bị lộ đã nhận được yêu cầu sau đó đang chờ để gửi phản hồi lớn cho máy nạn nhân mà nó thực hiện
  • Máy chủ được nhắm mục tiêu nhận được trọng tải khổng lồ, sau đó không thể xử lý lưu lượng mạng lớn như vậy, dẫn đến tình trạng quá tải và DOS cho các yêu cầu hợp pháp.

Một cuộc tấn công khuếch đại Memcached có thể lớn đến mức nào?

Yếu tố phóng đại của kiểu tấn công này là rất lớn, trong đó một số hãng đã trích dẫn một cách đáng kinh ngạc 51200 lần phóng đại! Có nghĩa là nếu một 15 byte yêu cầu được truyền đi, điều này có nghĩa là một phản ứng mong đợi của 75kb.

Điều này mô tả rủi ro truyền dữ liệu và bảo mật rất lớn đối với các thuộc tính web không thể xử lý khối lượng dữ liệu lớn như vậy. Có một sự khuếch đại đáng kể như vậy được thêm vào với các máy chủ Memcached dễ bị tấn công khiến cho tin tặc khởi chạy Tấn công DDoS những mục tiêu khác nhau.

Làm thế nào một cuộc tấn công Memcached có thể được giảm nhẹ?

Khi máy khách và máy chủ thiết lập kết nối bằng giao thức bắt tay ba chiều, việc trao đổi tuân theo ba bước:

  • Vô hiệu hóa UDP: Đối với máy chủ Memcached, đảm bảo bạn tắt UDP hỗ trợ nếu bạn không muốn có. Theo mặc định, Memcached đã bật hỗ trợ, khiến máy chủ bị lộ.
  • Tường lửa máy chủ Memcached: Bằng cách thiết lập một bức tường lửa đối với các máy chủ Memcached từ internet, điều này giúp giảm nguy cơ máy chủ Memcached bị lộ và có thể sử dụng UDP.
  • Ngăn chặn giả mạo IP: Miễn là có thể giả mạo địa chỉ IP, Tấn công DDoS có thể sử dụng mức độ tiếp xúc với lưu lượng truy cập trực tiếp vào máy nạn nhân. Ngăn chặn IP giả mạo là một nhiệm vụ to lớn mà một người quản trị mạng không thể thực hiện được. Nó yêu cầu các nhà cung cấp chuyển tuyến không được để bất kỳ gói tin nào rời khỏi mạng có nguồn gốc IP ngoài mạng.

    Nói cách khác, các nhà cung cấp dịch vụ internet phải đảm bảo rằng lưu lượng truy cập bắt nguồn không được giả vờ đến từ một nơi khác và những gói không được phép rời khỏi mạng Nếu các nhà cung cấp dịch vụ vận chuyển lớn thực hiện các biện pháp này, thì việc giả mạo IP có thể biến mất chỉ sau một đêm.

  • Phát triển phần mềm với các phản hồi UDP giảm: Một cách khác để loại bỏ tấn công khuếch đại là để giảm thiểu hệ số khuếch đại của bất kỳ yêu cầu đến. Nếu dữ liệu phản hồi được gửi như là kết quả của UDP yêu cầu nhỏ hơn yêu cầu ban đầu, việc khuếch đại sẽ không còn có thể.

Tìm hiểu thêm về DDoS

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me