compile memcached module

Ngày 27/02/2018 vừa qua, tin tặc mạng (hacker) đã lợi dụng các máy chủ memcached lớn nhỏ khác nhau để gây ra hơn 51000 lần DDOS, hạ gục các trang web và cơ sở hạ tầng internet quan trọng.

Hiện tại, các chuyên gia an ninh mạng ở nhiều tổ chức lớn như Cloudflare, Arbor Network … cho biết rằng bọn tin tặc này lợi dụng Memcached để tăng cường độ cuộc tấn công lên chưa từng thấy: 51.200 lần.

Memcached bị khai thác UDP gây DDOS
Mô hình Memcached bị khai thác UDP

Giống như phương thức khuếch đại khác, khi hacker gửi một lượng request nhỏ từ một IP giả mạo để nhận lại một lượng rất lớn response trở lại.

Cuộc tấn công của Memcached cũng tương tự bằng cách gửi một yêu cầu giả mạo tới máy chủ có memcached service trên port 11211 sử dụng IP giả mạo trùng với IP của máy chủ nạn nhân. Theo các chuyên gia phía Cloudflare, 15 byte request tới nhận lại được 750kB response (phóng đại lên 51.200 lần). Một con số khủng khiếp.

Không biết trên thế giới như thế nào, nhưng bản thân AD là nhân viên quèn ở một công ty cung cấp dịch vụ hosting, VPS đã chứng kiến sức công phá của vụ khai thác này, hầu như toàn bộ hệ thống bị tê liệt, băng thông bị chiếm dụng, CPU load cao và không có dấu hiệu ngừng lại.

Memcached như các bạn đã biết, nó là mã nguồn mở rất phổ biến lưu trữ và phân phối nội dung cache cho phép đối tượng cache được lưu trữ trong RAM và phục vụ các truy vấn tương tự vào các lần kế tiếp, điều này làm giảm tải và tăng tốc cho website. Memcached mặc định cho phép kết nối mở vào cả 2 phương thức là TCP và UDP trên port 11211.

Hiện tại cuộc tấn công khuếch đại này chỉ khai thác được UDP vì các truy vấn tới TCP không thể giả mạo IP. Vì vậy cách phòng tránh bây giờ đối với các thanh niên sys admin là thiết lập tường lửa, chặn hoặc giới hạn kết nối UDP trên port 11211. Hoặc không cho phép kết nối UDP đến Memcached nữa bằng cách sửa OPTION=”-U 0″ trong file /etc/sysconfig/memcached hoặc thay thế phương thức caching bằng dịch vụ khác.

Dưới đây là hình ảnh mình “may mắn” chụp được cho thấy Memcached bị khai thác 😀

Memcached bị khai thác UDP gây DDOS
Network bị spam traffic ra tận 1GB
Memcached bị khai thác UDP gây DDOS
Như các bạn thấy, CPU bị chiếm nhiều vãi luôn!

Leave a Reply

Your email address will not be published. Required fields are marked *