The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

28.02.2018 11:50  Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак

Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных серверов Memcached. Метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).

Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики (команда STAT), размер пакетов с которой во много раз может превышать размер исходного запроса. Второй вариант заключается в загрузке в кэш Memcached большого блока данных с последующей отправкой с поддельного адреса жертвы запросов на загрузку этих данных (команда GET).

В случае Memecached, размер запроса составляет 15 байт, а ответ может включать сотни килобайт данных. В одной из изученных атак средний размер ответа составил 134 КБ (усиление в 9000 раз). Наибольший зафиксированный в атаках размер ответа составил 750 КБ. В зависимости от сервера коэффициент усиления трафика может достигать 10-50 тысяч, что является абсолютным рекордом среди методов усиления атак. Для сравнения коэффициент усиления трафика для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SSDP - 20, SNMPv2 - 6.

Опасность представляют некорректно настроенные серверы, в которых Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию и расчитан на прикрепление к внутреннему сетевому порту или ограничение доступа на уровне межсетевого экрана. Некорректная настройка позволяет любому обратиться к незащищённому хранилищу Memcached, а поддержка протокола UDP даёт возможность подделать обратный адрес, на который будет отправлен ответ.

Всплеск DDoS-атак с привлечением memcached зафиксирован 24 февраля и продолжает нарастать. Если первые дни в атаке было задействовано около 400 серверов, то к 28 февраля их число удвоилось. Всего по предварительной оценке в сети насчитывается 93 тысячи общедоступных серверов Memcached, которые потенциально могут быть вовлечены в атаки.

При запуске по умолчанию memcached прикрепляется ко всем сетевым портам и принимает соединения по UDP (для привязки к localhost и отключения UDP следует запускать memcached с опциями "--listen 127.0.0.1 -U 0"). При установке из пакетов в Ubuntu 16.04 по умолчанию memcached привязывается к localhost, но при установке из пакета в CentOS 7.4 осуществляется привязка ко всем имеющимся сетевым интерфейсам.

Всем администраторам рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром. Разработчики Memcached оперативно выпустили обновление 1.5.6, в котором по умолчанию отключили привязку к UDP-порту (для обращения к memcached всеми современными клиентами обычно используется TCP). Для проверки своего сервера на возможность доступа по UDP можно при помощи команд:


   $ echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 192.168.1.1 11211
   STAT pid 21357
   STAT uptime 41557034
   STAT time 1519734962
   ...
или

   nmap 192.168.1.1 -p 11211 -sU -sS --script memcached-info
   PORT      STATE         SERVICE
   11211/tcp open          memcache

Дополнение: Зафиксирована рекордная DDoS атака на GitHub. Благодаря применению усилителя на базе memcachced удалось добиться потока в 1.3 терабит в секунду с интенсивностью 126.9 млн пакетов в секунду.



  1. Главная ссылка к новости (http://www.senki.org/memcached...)
  2. OpenNews: Критические уязвимости в Memcached
  3. OpenNews: DDoS-атака в 400 Гбит/с была совершена с привлечением всего 4529 NTP-серверов
  4. OpenNews: Зафиксирована DDoS-атака, в которую вовлечено 162 тысячи сайтов на базе WordPress
  5. OpenNews: Зафиксировано использование протокола RIPv1 в качестве усилителя DDoS-атак
  6. OpenNews: Предупреждение о задействовании UPnP/SSDP в качестве усилителя DDoS-атак
Лицензия: CC-BY
Тип: Интересно / Проблемы безопасности
Ключевые слова: memcached, ddos, udp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Ne01eX, 12:20, 28/02/2018 [ответить] [смотреть все]    [к модератору]
  • –1 +/
    Ещё текста (с картинками) на русском: https://habrahabr.ru/company/qrator/blog/350074/
     
  • 1.2, Зануда, 12:24, 28/02/2018 [ответить] [смотреть все]    [к модератору]
  • +2 +/
    Кб = килобит
    КБ = килобайт
    Ну что сложного? Почему каждый раз люди просто пишут "кб" и вынуждают читателя догадываться (а иногда это невозможно из контекста определить). А разница так-то почти на порядок.
     
     
  • 2.3, Зануда, 12:26, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]
  • –2 +/
    В этой статье же вообще используется Кб в значении КБ.
     
     
  • 3.10, Аноним, 12:45, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +8 +/
    тех. спецы знают, что канальная скорость изм. в битах, а прикладной объем в байтах, зачем мне еще думать про какие-то буквы, товарищ читатель )
     
     
  • 4.52, pavlinux, 23:43, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]
  • +/
    > канальная скорость изм. в битах,...

    боды слышал, не?

     
     
  • 5.72, t28, 11:57, 02/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > боды слышал, не?

    В бодах измеряется скорость манипуляции.

     
  • 2.5, A.Stahl, 12:38, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –5 +/
    На самом деле всё не так уж и плохо В местах где это действительно важно, таких... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.19, Аноним, 13:51, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Откуда вы лезете Килобит всегда пишут полностью, 171 Кбит 187 , чтобы не пут... весь текст скрыт [показать]
     
     
  • 4.24, Ага, 14:10, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Не поверишь -- не всегда И когда незнакомый тебе человек в интернете пишет Кб ... весь текст скрыт [показать]
     
     
  • 5.31, Crazy Alex, 15:22, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Очень просто - либо понятно из контекста, либо ты не в теме и тебе пофигу
     
  • 5.42, пох, 18:41, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    банально - если тебе пишет оператор вы опять превысили лимит траффика - это би... весь текст скрыт [показать]
     
  • 4.49, Аноним84701, 21:11, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Подозреваю, что некоторые 8211 с Нибиру 33k 56k модемы Факсы 8212 тоже ... весь текст скрыт [показать]
     
     
  • 5.69, _, 22:00, 01/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >bps

    Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше

     
     
  • 6.71, Аноним84701, 00:19, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Боды что ли Не, не согласный я Если bps baud per second, то получается какое... весь текст скрыт [показать]
     
     
  • 7.74, t28, 12:10, 02/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Верно.
    Там, ЕМНИП, техническая скорость ~3400 бод, что давало 28800 бит/с.
     
  • 7.77, SysA, 16:03, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    bps - это bits per second или бод ... весь текст скрыт [показать]
     
     
  • 8.78, Аноним, 16:53, 02/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > bps - это "bits per second!" или бод!

    Не или. 1 Бод != 1 bps.

     
  • 4.73, t28, 12:04, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ага Некоторые дауны вмето системной единицы с, пишут сек Это чтобы людЯм понят... весь текст скрыт [показать]
     
  • 2.7, АНГЫВНАГЫНВАШЩ, 12:42, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    под текстом статьи есть кнопка "Исправить"
     
     
  • 3.8, A.Stahl, 12:44, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А вода мокрая.
     
     
  • 4.12, Аноним, 12:50, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    А Стахл?
     
     
  • 5.21, Аноним, 14:04, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +8 +/
    А стахл — стухл
     
  • 2.9, Аноним, 12:45, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +3 +/
    По-русски приставка кило- обозначается строчной буквой к Что сложного ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Andrey Mitrofanov, 14:17, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А киби- какой буквой обхзначается Мне-то не надо, и все эти буквовахтёры ээ... весь текст скрыт [показать]
     
     
  • 4.29, 1, 14:35, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    кибибайт = КиБ
     
     
  • 5.53, pavlinux, 23:47, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    > КиБ

    Король и Бульмень?

     
  • 2.14, Аноним, 12:54, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Всё просто, те кто учился до 2000-ых пишут килобайт как Кб, а килобит как Кбит ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.47, RobotsCantPoop, 20:37, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Есть ещё мимимибайт, для измерения количества байт в фотке с котиком.
     
     
  • 4.75, scorry, 15:05, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    А вот зря же человека минусуют ... весь текст скрыт [показать]
     
  • 2.54, pavlinux, 23:48, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Чайник, чо КБ - это ЕСКДшное сокращение Конструкторского Бюро ... весь текст скрыт [показать] [показать ветку]
     
  • 2.65, Не занудствуй, 10:08, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    В Вашем замечании не раскрыта тема кибибитов. :)
     
  • 2.79, Ыеуз0, 13:30, 06/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    тожы самое с разделением разрядов запятой, на эвропейский манер. Ужас.
     
  • 1.4, Аноним, 12:35, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • –4 +/
    Про то, что memcached UDP умеет забыли даже разработчики memcached Не всегда со... весь текст скрыт [показать]
     
     
  • 2.6, Blind Vic, 12:42, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • –2 +/
    В Убунту это отключено, так что дело не только в разработчиках.
     
     
  • 3.57, pavlinux, 23:56, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Во всем виноваты одмины ... весь текст скрыт [показать]
     
  • 2.13, пох, 12:51, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    они не забыли и udp по сей день является лучшим выбором для подобных приложений ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, Crazy Alex, 13:56, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Разработчики продукта и должны думать как разработчики продукта В системе, расс... весь текст скрыт [показать]
     
     
  • 4.22, пох, 14:07, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    ну правильно, а то ж лохи не будут платить qrator и cloudlflare миллионы денег з... весь текст скрыт [показать]
     
     
  • 5.27, Crazy Alex, 14:25, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Не неси фигню, а Абуза прекрасно рубит таких дерьмохостеров , аж гай шумит По... весь текст скрыт [показать]
     
     
  • 6.41, пох, 18:32, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    мнение разработчика о том что он краем уха слышал мне очень интересно, да А гла... весь текст скрыт [показать]
     
     
  • 7.64, забыл_пароль_от_тигар, 09:57, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    а что такое доисторических bsd jails ... весь текст скрыт [показать]
     
     
  • 8.70, пох, 22:50, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    2005й или когда там мемкэш только изобрели - у jail был только один интерфейс, т... весь текст скрыт [показать]
     
  • 6.46, Moomintroll, 19:31, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Мемкеш в контейнере Но зачем ... весь текст скрыт [показать]
     
     
  • 7.48, пох, 20:44, 28/02/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    они по другому уже не умеют.
     
  • 7.76, scorry, 15:08, 02/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Это такая новая иллюзия безопасности ... весь текст скрыт [показать]
     
  • 4.23, Аноним, 14:07, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Просто разработчики давно здоровьем своей задницы не отвечали за написанное, пот... весь текст скрыт [показать]
     
     
  • 5.28, Crazy Alex, 14:31, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    То есть man - это не документация, а слайдшара - террористическая организация К... весь текст скрыт [показать]
     
     
  • 6.43, пох, 18:54, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    нет man sendmail до понимания угу Товарищ майор подтвердит Кажется, они хост... весь текст скрыт [показать]
     
  • 5.35, Аноним, 17:11, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    А вы ничего не путаете С каких пор разработчики являются экспертами по безопас... весь текст скрыт [показать]
     
     
  • 6.37, Аноним, 17:47, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    даун, открывающий по-умолчанию порты на улицу без авторизации, это действительно... весь текст скрыт [показать]
     
     
  • 7.38, Аноним, 17:54, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Я бы на их месте - вообще оставлял бы конфиги пустыми Пусть каждый крутит так... весь текст скрыт [показать]
     
  • 1.11, Аноним, 12:48, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Вообще то мемкеш успешно складывается от попытки sip регистрации по UDP на порт ... весь текст скрыт [показать]
     
     
  • 2.15, пох, 12:54, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    мм у меня не сложился, что я делаю не так а то может это неплохой способ at... весь текст скрыт [показать] [показать ветку]
     
  • 1.17, Аноним, 13:24, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • +/
    Я представляю сколько сессий пользователей данных было украдено с этих серверов,... весь текст скрыт [показать]
     
     
  • 2.18, пох, 13:35, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    видимо, как раз от осозания феерической бесполезности украденого мусора, решили ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Аноним, 14:10, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –5 +/
    какое отношение ёж имеет к мемкешеду вы там в огороженном мирке интырпрайза сов... весь текст скрыт [показать]
     
     
  • 4.33, Andrey Mitrofanov, 16:13, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    --Плслушайте, Штирлиц А Вы в курсе как в нашем мирке интырпрайза размножаются ё... весь текст скрыт [показать]
     
  • 3.30, Аноним, 14:40, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Вот не надо про ежей Ежи оне все по талонам ... весь текст скрыт [показать]
     
     
  • 4.56, pavlinux, 23:55, 28/02/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    мозг ... весь текст скрыт [показать]
     
  • 1.32, Ананимус242564248, 15:59, 28/02/2018 [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    Я не понимаю, баг кто-нибудь в РедХат откроет Пусть локалхост слушает по-умолча... весь текст скрыт [показать]
     
     
  • 2.34, Andrey Mitrofanov, 16:15, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +1 +/
    Все говорят А ты купи ELLLLLLLLLL суппорт Рассказать тебе сказочку про бELLLLL... весь текст скрыт [показать] [показать ветку]
     
  • 2.39, Crazy Alex, 17:56, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –3 +/
    Там, где используют RHEL, мемкеш не держат на том же хосте, что и его клиентов, ... весь текст скрыт [показать] [показать ветку]
     
  • 2.44, пох, 18:57, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    могу в rhel 5 2 открыть На нее есть контракт Тебе легче станет ... весь текст скрыт [показать] [показать ветку]
     
  • 1.45, annual slayer, 19:16, 28/02/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    ничему монга людей не научила, всё еще слушают не на локалхосте по дефолту
     
     
  • 2.50, kewlhaxzor, 21:22, 28/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    как это не научила Мы вот научились искать уязвимые недоsql-тазабанные Правда,... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, annual slayer, 02:20, 01/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    и с коачем парой лет ранее я что-то похожее тоже припоминаю... весь текст скрыт [показать]
     
  • 1.58, YetAnotherOnanym, 01:06, 01/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей прошлой работе - давайдавайдавай быстрейбыстрейбыстрей, десять заданий с дедлайном вчера и ещё новые валятся - я не удивлён, что у них Memcached наружу торчит ничем не прикрытый.
     
     
  • 2.60, pavlinux, 02:22, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –2 +/
    ты с кем это ... весь текст скрыт [показать] [показать ветку]
     
  • 2.63, пох, 09:09, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +1 +/
    > Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей прошлой работе

    даже (на самом деле - _тем_более_) в таких условиях - не иметь на сервере файрволла с дефолтным поведением DROP, и не открывать порт, нужный только локально, для всех подряд - это, извиняй, подтверждение полного непрофессионализма.

    поэтому, видимо, они там и работают - больше никуда парашутиста-торопыгу не берут, а на его место стоит очередь из еще сотни неумех, умеющих только быстро-быстро перебирать тикеты в тикетнице.

     
     
  • 3.66, YetAnotherOnanym, 13:17, 01/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А другие туда и не идут. Я тоже сбежал, потому что отношение - "все 24 часа в сутки моего работника принадлежат мне". Я там сидел до 10-11 вечера, разгребал навоз и затыкал дыры, а когда время, уходящее на реагирование на инциденты уменьшилось, так что появилось время на какое-то развитие, хозяин решил, что я недозагружен и должен ещё и счета разносить. Тогда я плюнул и ушёл.
     
  • 1.61, Джон Ленин, 02:41, 01/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +3 +/
    >(усиление в 9000 раз)

    Over9k!!! O_o

     
  • 1.67, Аноним, 17:19, 01/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Плохая рекомендация, негодная Вот хорошая Рекомендуется запретить доступ ко вс... весь текст скрыт [показать]
     
     
  • 2.68, Stop, 18:48, 01/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    > У хорошо настроенного админа
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor