MemCached DrDOS Attack
Como funciona o ataque Memcached DrDoS?
Que os ataques de negação de serviço vêm se aprimorando, todo mundo sabe. Segundo o 13º Relatório Anual sobre Segurança da Infraestrutura Global de Redes, da Arbor Networks, o Brasil registrou por volta de 30 ataques de negação de serviço por hora em 2017. O que poucos sabem é que uma vulnerabilidade surgida recentemente amplificou a potência desses ataques de modo exponencial.
Na última quarta-feira de fevereiro (28/02) as empresas Akamai, Arbor Networks e Cloudflare reportaram um aumento expressivo de ataques DoS utilizando protocolo UDP amplificados por servidores Memcached.
Histórico
Ataques de DrDoS (negação de serviço reflexivo) ficaram famosas depois de causarem tráfego na casa dos Terabytes ao redor do mundo utilizando requisições DNS e, posteriormente, protocolo NTP para amplificação. Além disso, também valeram-se de câmeras e dispositivos IoT (Internet of Things, ou internet das coisas) para a realização dos ataques.
Conforme artigo publicado no ThreatPost, com os servidores Memcached foi possível amplificar em até 51 mil vezes os ataques DDoS que já vinham ocorrendo.
Que servidor é esse?
Conforme artigo publicado pela IBM, “o Memcached é um projeto de software livre projetado para fazer uso da RAM sobressalente em muitos servidores para agir como um cache de memória para informações acessadas com frequência. O elemento chave é o uso da palavra cache: o Memcached fornece armazenamento temporário, em memória, das informações que podem ser carregadas de outro local".
O Ataque
Servidores Memcached costumam responder à porta 11211 TCP e UDP.
Utilizando as premissas do já tão utilizado ataque de negação de serviço reflexivo, várias máquinas, em posse de um atacante, enviam milhares de requisições à estes servidores (que respondem especificamente a requisições UDP) forjando o IP de origem com o IP da vítima em um intervalo de tempo na casa dos milissegundos.
Com isso, as inúmeras requisições enviadas serão respondidas ao IP da vítima causando assim a inundação de conexões ocasionando a negação do serviço.
Fontes apontam que o GitHub sofreu, através desta técnica, o maior ataque da história, com picos de até 135 Terabits por segundo.
Possibilidades de mitigação
Os administradores de sistemas têm orientado quem possui os servidores Memcached a desabilitarem a porta UDP, que responde ao serviço, como mitigação primária, visto que sua configuração padrão já vem com esta porta habilitada.
Uma tratativa mais elaborada envolve restringir a quantidade de requisições ao serviço.
Conclusão
Como dito no início desta matéria, não é de hoje que os ataques de negação de serviço vêm se aprimorando e, com a internet aumentando sua velocidade ao redor do globo, a situação só tende a piorar.
Você conhece esse tipo de ataque? Sabe como pode se proteger? Já sofreu com a negação de serviço alguma vez? Compartilhe suas experiências conosco!
Referências:
https://br.arbornetworks.com/visibilidade-de-redes/
https://threatpost.com/misconfigured-memcached-servers-abused-to-amplify-ddos-attacks/130150/
http://www.rmaues.com/2014/02/ataques-de-ddos-baseados-no-ntp.html
https://www.us-cert.gov/ncas/alerts/TA14-013A
https://www.us-cert.gov/ncas/alerts/TA13-088A
https://www.security.unicamp.br/blog/24-amplificacao-udp/
http://blog.netlab.360.com/memcache-ddos-a-little-bit-more-en/
https://amp.thehackernews.com/thn/2018/02/memcached-amplification-ddos.html
https://www.cvedetails.com/vulnerability-list/vendor_id-12993/Memcached.html
Que os ataques de negação de serviço vêm se aprimorando, todo mundo sabe. Segundo o 13º Relatório Anual sobre Segurança da Infraestrutura Global de Redes, da Arbor Networks, o Brasil registrou por volta de 30 ataques de negação de serviço por hora em 2017. O que poucos sabem é que uma vulnerabilidade surgida recentemente amplificou a potência desses ataques de modo exponencial.
Na última quarta-feira de fevereiro (28/02) as empresas Akamai, Arbor Networks e Cloudflare reportaram um aumento expressivo de ataques DoS utilizando protocolo UDP amplificados por servidores Memcached.
Histórico
Ataques de DrDoS (negação de serviço reflexivo) ficaram famosas depois de causarem tráfego na casa dos Terabytes ao redor do mundo utilizando requisições DNS e, posteriormente, protocolo NTP para amplificação. Além disso, também valeram-se de câmeras e dispositivos IoT (Internet of Things, ou internet das coisas) para a realização dos ataques.
Conforme artigo publicado no ThreatPost, com os servidores Memcached foi possível amplificar em até 51 mil vezes os ataques DDoS que já vinham ocorrendo.
Que servidor é esse?
Conforme artigo publicado pela IBM, “o Memcached é um projeto de software livre projetado para fazer uso da RAM sobressalente em muitos servidores para agir como um cache de memória para informações acessadas com frequência. O elemento chave é o uso da palavra cache: o Memcached fornece armazenamento temporário, em memória, das informações que podem ser carregadas de outro local".
O Ataque
Servidores Memcached costumam responder à porta 11211 TCP e UDP.
Utilizando as premissas do já tão utilizado ataque de negação de serviço reflexivo, várias máquinas, em posse de um atacante, enviam milhares de requisições à estes servidores (que respondem especificamente a requisições UDP) forjando o IP de origem com o IP da vítima em um intervalo de tempo na casa dos milissegundos.
Com isso, as inúmeras requisições enviadas serão respondidas ao IP da vítima causando assim a inundação de conexões ocasionando a negação do serviço.
Fontes apontam que o GitHub sofreu, através desta técnica, o maior ataque da história, com picos de até 135 Terabits por segundo.
Possibilidades de mitigação
Os administradores de sistemas têm orientado quem possui os servidores Memcached a desabilitarem a porta UDP, que responde ao serviço, como mitigação primária, visto que sua configuração padrão já vem com esta porta habilitada.
Uma tratativa mais elaborada envolve restringir a quantidade de requisições ao serviço.
Conclusão
Como dito no início desta matéria, não é de hoje que os ataques de negação de serviço vêm se aprimorando e, com a internet aumentando sua velocidade ao redor do globo, a situação só tende a piorar.
Você conhece esse tipo de ataque? Sabe como pode se proteger? Já sofreu com a negação de serviço alguma vez? Compartilhe suas experiências conosco!
Referências:
https://br.arbornetworks.com/visibilidade-de-redes/
https://threatpost.com/misconfigured-memcached-servers-abused-to-amplify-ddos-attacks/130150/
http://www.rmaues.com/2014/02/ataques-de-ddos-baseados-no-ntp.html
https://www.us-cert.gov/ncas/alerts/TA14-013A
https://www.us-cert.gov/ncas/alerts/TA13-088A
https://www.security.unicamp.br/blog/24-amplificacao-udp/
http://blog.netlab.360.com/memcache-ddos-a-little-bit-more-en/
https://amp.thehackernews.com/thn/2018/02/memcached-amplification-ddos.html
https://www.cvedetails.com/vulnerability-list/vendor_id-12993/Memcached.html
0 comentários: