Chia sẻ, mua bán trao đổi kiến thức, theme, plugin Wordpress

Lợi dụng lỗ hổng memcached, hacker khuếch đại sức mạnh các cuộc tấn công DDos lên hơn 51.000 lần.

0

1. Hình thức tấn công Memcached

Mới đây, các chuyên gia đã phát hiện ra một nhóm hacker đã thực hiện một phương thức tấn công mới có khả năng khuếch đại tấn công DDos lên tới 51,000 lần so với kích thước ban đầu và đây được xem là phương thức tấn công khuếch đại đạt được hiệu quả lớn nhất trong lịch sử.

Phương thức tấn công lần này lợi dụng lỗ hổng memcached- một hệ thống lưu trữ bản sao các đối tượng (objects) và dữ liệu được truy cập nhiều lần để tăng tốc độc truy xuất. Nó thường được sử dụng để tối ưu hóa việc tải dữ liệu từ cơ sở dữ liệu cho các ứng dụng trên nền web.

Các chuyên gia bảo mật lo lắng rằng, trong thời gian tới, hacker sẽ liên tục sử dụng kỹ thuật tấn công này để tấn công lên các trang web và cơ sở hạ tầng internet. Và trong tuần vừa qua, nhóm tin tặc này đã bắt đầu triển khai một cuộc tấn công với khối lượng 500 gigabit/s đến từ port UDP 11211.

Ý tưởng chung đằng sau tất cả các cuộc tấn công khuếch đại là như nhau. Hacker sẽ giả mạo IP mục tiêu và gửi yêu cầu giả mạo đến một máy chủ UDP dễ bị tấn công. Máy chủ UDP không nhận biết được yêu cầu giả mạo và sẽ ngay lập tức gửi trả lại một lượng lớn dữ liệu không mong muốn đến mục tiêu.

Các cuộc tấn công khuếch đại thường có hiệu quả và gây ra tổn hại lớn, bởi vì các gói tin trả lời thường là lớn hơn nhiều so với các gói yêu cầu.

Các chuyên gia tại Cloudflare CDN cho biết cuộc tấn công này xuất phát từ gần 6000 máy chủ memcached được tìm thấy trên internet. Tuy nhiên, họ cũng cho biết rằng trên thế giới có hơn 88,000 máy chủ tương tự và tiềm lực tấn công của phương thức này còn lớn hơn rất nhiều so với cuộc tấn công vừa ghi nhận được.

Johnathan Azaria, chuyên gia nghiên cứu bảo mật dịch vụ phòng chống tấn công DDoS của Imperva ước tính độ phóng đại là 9000 lần cho memcached và 557 lần cho NTP. Ngoài ra, ước tính số lượng các máy chủ memcached có sẵn trên internet chạy cổng 11211 là 93,000 máy chủ. Mặc dù đã sử dụng các số liệu khác nhau, nhưng con số về máy chủ memcached và tiềm lực của cuộc tấn công vẫn lớn chưa từng thấy.

2. Giải pháp để xử lý hình thức tấn công mới này (theo các chuyên gia Cloudflare)  

Để ngăn chặn các cuộc tấn công qua hình thức này. Dưới đây là danh sách những điều mà bạn cần làm.

2.1. Đối với người dùng Memcached

Nếu bạn đang sử dụng memcached, vui lòng tắt hỗ trợ UDP nếu bạn không sử dụng nó. Trên memcached startup bạn có thể chỉ định –listen 127.0.0.1 để lắng nghe trên localhost và -U 0 để vô hiệu hóa UDP hoàn toàn. Bởi theo mặc định, memcached lắng nghe trên INADDR_ANY và chạy nếu giao thức UDP được mở.

Bạn có thể tham khảo thêm tài liệu tại link: https://github.com/memcached/memcached/wiki/ConfiguringServer#udp

Bạn có thể dễ dàng kiểm tra xem máy chủ của bạn có bị tấn công hay không bằng cách chạy câu lệnh sau:

$ echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 127.0.0.1 11211
STAT pid 21357
STAT uptime 41557034
STAT time 1519734962
...

Nếu kết quả trả về như trên, máy chủ của bạn là dễ bị tấn công.

2.2 Đối với Quản trị hệ thống

Cài đặt tường lửa cho các máy chủ lưu trữ của bạn! Để kiểm tra xem chúng có thể được truy cập bằng cách sử dụng giao thức UDP hay không, HOSTVN khuyên bạn nên sử dụng câu lệnh “echo” để kiểm tra như bên trên. Hoặc để kiểm tra xem TCP có bị đóng chạy không câu lệnh nmap như sau:

2.3 Đối với nhà phát triển Web

Vui lòng ngừng sử dụng giao thức UDP. Nếu bạn bắt buộc phải sử dụng UDP thì không kích hoạt nó theo mặc định.

Nếu bạn sử dụng UDP, bạn phải luôn đáp ứng với đúng kích thước gói nhỏ hơn theo yêu cầu. Nếu không, giao thức của bạn sẽ bị lạm dụng để tấn công. Chúng tôi khuyên các bạn nên cài đặt và sử dụng Firewall. và nhớ rằng không nên sử dụng một giao thức dựa trên giao thức UDP mà chưa được xác minh và chứng thực.

2.4 Với khách hàng đang sử dụng Share Hosting tại VSIS.NET

Chúng tôi khuyên bạn nên chủ động cài sang Litespeed cache để đảm bảo an toàn hơn cho website.

Để lại một trả lời

Địa chỉ email của bạn sẽ không được công bố.