RuCore.NET

DDoS-атаки с использованием Memcached





Исследователи из Cloudflare столкнулись с волной DDoS-атак, проводимых через заражённые серверы Memcached — утилиты кэширования данных на основе хеш-таблиц. Масштабную кампанию удалось развернуть из-за того, что разработчики некорректно внедрили поддержку протокола UDP в своем продукте.

Этот тип атак основан на технологии отражающей DDoS. Такая стратегия эффективна, так как размеры ответных пакетов превышают размеры запросов. Это даёт злоумышленникам с небольшим объёмом ресурсов возможность проводить мощные DDoS-кампании.



Как это работает?

Используя IP-адрес жертвы, хакеры отправляют поддельные запросы на уязвимый UDP-сервер. Не зная о фальсификации, сервер готовит ответ. Внедрение UDP в конфигурации по умолчанию позволяет не защищенному брандмауэром серверу отправлять целевому хосту тысячи ответов, выводя из строя сеть жертвы.

По словам Cloudflare, самая крупная из зафиксированных DDoS-атак на основе Memcached достигла 260 гигабайт в секунду (GBPS) и 23 миллионов пакетов в секунду (PPS).
Уязвимые серверы распределены по всему миру, однако наибольшая концентрация атак отмечается в Северной Америке и Европе.

Исследователи просят разработчиков не использовать UDP или (при отсутствии такой возможности) отключать его по умолчанию. Сетевым администраторам следует в обязательном порядке проверить, защищены ли серверы межсетевым экраном. Пользователям Memcached настоятельно рекомендуется деактивировать порт UDP командами —listen 127.0.0.1 (прослушивание только локального порта) или -U 0 (полное отключение UDP)

Эксплойты

Я нашел только один нормальный скрипт для организации DDoS-атак.

1 Утилита — это написанный на Python скрипт Memcacrashed.py, который сканирует Shodan в поисках уязвимых Memcached-серверов. Скрипт позволяет пользователю сразу же использовать полученные IP-адреса для усиления атаки. Атака ведется на udp порт 11211 вот как это выглядит в tcpdump

$ tcpdump -n -t -r memcrashed.pcap udp and port 11211 -c 10
IP 87.98.205.10.11211 > 104.28.1.1.1635: UDP, length 13
IP 87.98.244.20.11211 > 104.28.1.1.41281: UDP, length 1400
IP 87.98.244.20.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 5.196.85.159.11211 > 104.28.1.1.1635: UDP, length 1400
IP 46.31.44.199.11211 > 104.28.1.1.6358: UDP, length 13

 

Источник: форум DarkWebs



Поделись статьей с друзьями


180 просмотров



Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: