Zneužitie Memcached serverov na realizáciu masívnych DDoS útokov
Memcached je slobodný softvér, slúžiaci ako vyrovnávacia pamäť (cache) webového obsahu. Jeho cieľom je urýchliť webové aplikácie tým, že umožňuje uchovanie často používaných položiek v pamäti a tak znižuje záťaž databáz. Prispieva tým k zvyšovaniu výkonu a celkovej škálovateľnosti webových aplikácií. Vyrovnávaciu pamäť webového obsahu využíva množstvo webových portálov, vrátane gigantov ako sú YouTube, Twitter či Facebook. Nasadením Memcached možno dosiahnuť vysoké rýchlosti pri ukladaní a sieťovom prenose dát.
Memcached server na transportnej vrstve využíva spojovo orientovaný protokol TCP alebo nespojovo orientovaný protokol UDP na porte 11211. V základnej konfigurácii je však UDP protokol používaný bez akejkoľvek autentifikácie či verifikácie zdrojových IP adries. V prípade, že je Memcached server nesprávne nakonfigurovaný a dostupný z Internetu, stáva sa cenným prostriedkom, ktorý by útočníci mohli zneužiť na amplifikáciu (zosilnenie) DDoS útokov. Útočníci v napadnutom systéme ukladajú veľké, dátovo objemné objekty a následne na Memcached server zasielajú zo sfalšovanej IP adresy obete podvrhnuté požiadavky na prístup k týmto objektom. Požiadavky server vyhodnotí ako požiadavky z IP adresy obete a začne na ne odosielať obrovské množstvo dátového toku, čím dochádza k efektívnemu zahlteniu sieťových prostriedkov obete. Amplifikačné faktory DDoS útokov prostredníctvom Memcached dosahujú až 51 000 násobku, čo znamená, že každý bajt zaslaný útočníkom má za následok 51 KB zaslaných na adresu obete.
Vyššie popísaný mechanizmus bol zneužitý aj na realizáciu masívneho DDoS útok na web GitHub.com, ku ktorému došlo v podvečer dňa 28.02.2018. Podľa vyjadrenia predstaviteľov GitHub.com útok na ich servery bol smerovaný z viac ako tisícky rôznych autonómnych systémov, obsahujúcich desiatky tisíc unikátnych koncových bodov a spôsobil zneprístupnenie služieb po dobu 9 minút. Útok dosiahol vrcholnú hodnotu 1.35Tbps prostredníctvom 126.9 milióna paketov za sekundu. Z historického hľadiska ide o druhý najmasívnejší dosiaľ zaznamenaný DDoS útok a jeho intenzita prekonala o viac než dvojnásobok intenzitu DDoS útokov vedených prostredníctvom známeho botnetu Mirai v roku 2016. Najmasívnejší dosiaľ zaznamenaný DDoS útok reportovala spoločnosť Arbor Networks začiatkom marca 2018. Vo svojom stanovisku uviedla, že vrcholná hodnota dátového toku pri ňom dosahovala 1.7Tbps.
Nasledujúca tabuľka porovnáva aplifikačné faktory pri zneužití rôznych protokolov.
| Protokol | Amplifikačný faktor dátového toku |
| BitTorrent | 3.8 |
| CLDAP | 56 až 70 |
| DNS | 28 až 54 |
| CharGE | 358.8 |
| Kad | 16.3 |
| LDAP | 46 až 55 |
| Memcached | 10,000 až 51,000 |
| Multicast DNS (mDNS) | 2 až 10 |
| NetBIOS | 3.8 |
| NTP | 556.9 |
| Portmap (RPCbind) | 7 až 28 |
| QOTD | 140.3 |
| Quake Network Protocol | 63.9 |
| RIPv1 | 131.24 |
| SNMPv2 | 6.3 |
| SSDP | 30.8 |
| Steam Protocol | 5.5 |
| TFTP | 60 |
| ZDROJ: https://www.us-cert.gov | |
Zabezpečenie Memcached serverov
Memcached servery by nemali byť verejne dostupné z Internetu. Základným zabezpečením je nasadenie firewallových riešení, ktoré prístup k serveru umožnia iba z lokálnej siete a blokujú externú sieťovú prevádzku smerovanú na UDP port 11211.
Ak na serveri nie je nutné použitie UDP protokolu, odporúčame ho v nastaveniach servera deaktivovať a využívať spojovo orientovaný protokol TCP.
Ochrana
Napriek obrovským dátovým tokom, ktorými útočníci zahlcujú svoje obete, sa stále jedná „iba“ o útoky typu DoS (Denial of Services) a možno využiť štandardné metódy a prostriedky obrany voči nim. Medzi najpoužívanejšie patria systémy IPS (Intrusion Prevention System), IDS (Intrusion Detection System), optimalizácia záťaže (Load Balancer), filtrovanie dátového toku (scrubbing), firewallové riešenia, zoznamy pre riadenie prístupov ACL a mnoho iných. Najúčinnejšou obranou je kombinácia viacerých z vyššie uvedených metód, pričom treba zohľadňovať priebeh a ciele útoku.
Ak vo svojej sieťovej infraštruktúre používate Memcached,
- nastavte na Memcached serveri také firewallové pravidlá, aby bol dostupný len z IP adries serverov, ktoré ho využívajú.
- na perimetrových firewalloch nastavte obdobné firewallové pravidlá.
Ak ste obeťou útoku, využite služby niektorého z najväčších svetových centier, poskytujúcich ochranu pred DDoS útokmi. Je možné predpokladať, že vzhľadom k obrovskému amplifikačnému efektu by ochrana technickými prostriedkami na strane obete nemusela byť účinná.
Ak ste sa stali obeťou kybernetického útoku, dajte nám o tom vedieť prostredníctvom nášho kontaktného formulára.
Zdroje:
https://githubengineering.com/ddos-incident-report/
https://www.us-cert.gov/ncas/alerts/TA14-017A
https://thehackernews.com/2018/03/biggest-ddos-attack-github.html
https://thehackernews.com/2018/02/memcached-amplification-ddos.html
https://access.redhat.com/solutions/3369081
https://access.redhat.com/solutions/1160613
https://thehackernews.com/2018/03/ddos-attack-memcached.html
« Späť na zoznam
