LinuxParty
Los ciberdelincuentes descubrieron en 2018 una manera de abusar de los servidores ampliamente utilizados Memcached para lanzar ataques DDoS 51.000 veces más potentes que su fuerza original, lo que podría resultar en el derribo de los principales sitios web y la infraestructura de Internet.
Los investigadores de seguridad de Cloudflare, Arbor Networks, y la firma de seguridad china Qihoo 360 notaron que los piratas informáticos ahora están abusando de "Memcached" para amplificar sus ataques DDoS en un factor sin precedentes de 51.200 veces.
Ver también: Asegurar memcached del servidor, para evitar amplificar ataques DDoS
Memcached es un popular sistema de almacenamiento en caché distribuido de código abierto y fácil de implementar que permite almacenar objetos en la memoria y ha sido diseñado para funcionar con una gran cantidad de conexiones abiertas. El servidor Memcached se ejecuta en el puerto TCP o UDP 11211. La aplicación Memcached ha sido diseñada para acelerar las aplicaciones web dinámicas al reducir el estrés en la base de datos que ayuda a los administradores a aumentar el rendimiento y escalar las aplicaciones web. Es ampliamente utilizado por miles de sitios web, incluidos Facebook, Flickr, Twitter, Reddit, YouTube y Github.
Apodado Memcrashed por Cloudflare, el ataque aparentemente abusa de los servidores Memcached desprotegidos que tienen UDP habilitado para entregar ataques DDoS 51,200 veces su fuerza original, lo que lo convierte en el método de amplificación más prominente jamás utilizado en la naturaleza hasta ahora.
¿Cómo funciona el ataque de amplificación DDoS Memcrashed?
Al igual que otros métodos de amplificación en los que los piratas informáticos envían una pequeña solicitud desde una dirección IP falsificada para obtener una respuesta mucho mayor a cambio, el ataque de amplificación Memcrashed también funciona enviando una solicitud falsificada al servidor objetivo (servidor UDP vulnerable) en el puerto 11211 utilizando una IP falsificada. dirección que coincide con la IP de la víctima.
Según los investigadores, solo unos pocos bytes de la solicitud enviada al servidor vulnerable pueden desencadenar la respuesta de decenas de miles de veces más.
"15 bytes de solicitud activaron 134 KB de respuesta. ¡Este es un factor de amplificación de 10,000x! En la práctica, hemos visto que una solicitud de 15 bytes da como resultado una respuesta de 750kB (eso es una amplificación de 51,200x)", dice Cloudflare.
Según los investigadores, la mayoría de los servidores Memcached abusados para ataques DDoS de amplificación están alojados en OVH , Digital Ocean, Sakura y otros pequeños proveedores de alojamiento. En total, los investigadores han visto sólo 5.729 direcciones IP de origen únicas asociadas con servidores Memcached vulnerables, pero "esperan ver ataques mucho mayores en el futuro, ya que Shodan informa 88.000 servidores Memcached abiertos". Cloudflare dice.
"En el pico, hemos visto 260 Gbps de tráfico UDP memcached entrante. Esto es enorme para un nuevo vector de amplificación. Pero los números no mienten. Es posible porque todos los paquetes reflejados son muy grandes", dice Cloudflare.
Arbor Networks señaló que las consultas de preparación de Memcached utilizadas en estos ataques también podrían dirigirse al puerto TCP 11211 en servidores Memcached abusivos.
ataque ddos memcached
Pero TCP no se considera actualmente un vector de reflexión / amplificación Memcached de alto riesgo porque las consultas de TCP no se pueden falsificar de manera confiable.
Los vectores de ataque de amplificación DDoS conocidos popularmente que informamos en el pasado incluyen servidores de resolución de sistemas de nombres de dominio (DNS) mal asegurados , que amplifican los volúmenes aproximadamente 50 veces, y el protocolo de tiempo de red (NTP), que aumenta el volumen de tráfico en casi 58 veces.
Mitigación: ¿Cómo reparar los servidores Memcached?
Una de las formas más sencillas de evitar que se abuse de sus servidores Memcached como reflectores es el cortafuegos, el bloqueo o la limitación de velocidad de UDP en el puerto de origen 11211.
Dado que Memcached escucha en INADDR_ANY y se ejecuta con la compatibilidad con UDP habilitada de forma predeterminada, se recomienda a los administradores que deshabiliten la compatibilidad con UDP. si no lo están usando.
Los proveedores de servicios de Internet (ISP) no pueden defender fácilmente el tamaño del ataque potencialmente creado por la reflexión de Memcached, siempre que se permita la suplantación de IP en Internet.
-
Seguridad
- Drones, vigilancia y reconocimiento facial: una startup llamada 'Sauron' presenta un sistema de seguridad para el hogar de estilo militar
- Conexión Segura NFS en Linux, Tunelizar NFS sobre SSH y Configuración de NFS sobre SSH para Mayor Seguridad
- ¿Olvidó su contraseña? Cinco razones por las que necesita un administrador de contraseñas
- Cómo limitar las conexiones SSH (puerto TCP 22) con ufw en Ubuntu Linux
- Utilizar ssh sin contraseña con ssh-keygen y ssh-copy-id
- Millones de teléfonos móviles podrían ser vulnerables a la vigilancia del gobierno chino
- Cómo limitar las conexiones SSH a la red local en Linux
- Los televisores inteligentes son como un «caballo de Troya digital» en los hogares
- Snort para Windows, detección de Intrusos y seguridad.
- Detección de Intrusiones con las herramientas: BASE y Snort.
- El Sistema de Detección de Intrusos: Snort. ( Windows y Linux )
- Configuración con Ejemplos de Snort para Windows, detección de intrusiones
- ¿El gobierno de EE. UU. ignoró la oportunidad de hacer que TikTok fuera más seguro?
- ¿Qué es SSH y cómo se utiliza? Los conceptos básicos de Secure Shell que necesitas saber
- Asegurar memcached del servidor, para evitar amplificar ataques DDoS