Công nghệ

Hình Thức Tấn Công Thông Qua Lỗ Hổng Bảo Mật Memcached

  • Nguyễn Duy Phương
  • 01/03/2018, 04:20 pm

I. Hình thức tấn công MEMCACHED UDP REFLECTION

Hiện tại ghi nhận có lưu lượng lớn DDoS reflection attack memcached dựa trên UDP (Memcached  là một hệ thống lưu trữ bản sao các đối tượng (objects) và dữ liệu được truy cập nhiều lần để tăng tốc độc truy xuất. Mục đích chính của nó là để tăng tốc độ ứng dụng web bằng cách truy vấn cơ sở dữ liệu bộ nhớ đệm, nội dung, hoặc kết quả tính toán khác. Giao thức này cho phép máy chủ được truy vấn thông tin về các key value stores. Không có chứng thực yêu cầu với memcached). Khi được thêm vào khả năng giả mạo địa chỉ IP của lưu lượng UDP, giao thức có thể dễ dàng bị lạm dụng như một reflector.

Giao thức memcache không bao giờ được phơi bày ra trên Internet, nhưng hiện tại có hơn 50.000 hệ thống bị khai thác. Theo mặc định, memcached lắng nghe trên localhost trên cổng TCP và UDP 11211 trên hầu hết các phiên bản của Linux và Windows, nhưng trong một số bản, nó được cấu hình để lắng nghe cổng này trên tất cả các interface theo mặc định.


Khi một hệ thống nhận được một yêu cầu nhận được memcached, nó tạo ra một phản hồi bằng cách thu thập các giá trị yêu cầu từ bộ nhớ. Phản hồi này được gửi tới đích trong nhiều gói tin UDP, mỗi gói có chiều dài lên tới 1400 byte. Thật khó để xác định chính xác khuếch đại của memcached, nhưng các cuộc tấn công cho thấy đã tạo ra gần 1 Gbps mỗi reflector. Các tổ chức khác đã báo cáo các cuộc tấn công vượt quá 500 Gbps sử dụng phản hồi memcached.

II. Giải pháp xử lý hình thức tấn công

Hiện tại có 2 giải pháp chủ yếu đề hạn chế tấn công sử dụng giao thức MEMCACHE (Nếu bạn đang sử dụng memcached)

1. Cấu hình lại memcached cho phép chỉ listen trên localhost

+ SSH (Remote) vào server: (Ví dụ thực hiện với OS Linux)

Sử dụng vim, vi hoặc nano

#nano /etc/sysconfig/memcached

Thêm tham số -l 127.0.0.1 vào trong "" của tham số OPTIONS=""

OPTIONS="-l 127.0.0.1"

+ Restart service memcached

#service memcached restart

2. Filter UDP port 11211

Với giải pháp này bạn có thể dùng firewall hoặc iptables để xử lý

+ Nếu dùng apf, csf, firewall, ...: Bỏ allow port 11211 UDP

+ Dùng iptables đề filter(Linux (RedHat, Centos, Ubuntu..)):

#iptables -A INPUT -p udp --dport 11211 -j DROP

III. Hiện trạng tại Nhân Hòa với hình thức tấn công MEMCACHED UDP REFLECTION

Hiện tại các khách hàng sử dụng dịch vụ của Nhân Hòa đều được bảo vệ trước hình thức tấn công này. Tuy nhiên để chủ động trong việc quản trị hệ thống, bạn nên làm theo làm theo các giải pháp mà chúng tôi đưa ra

-------------------------------

Tham khảo: https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/


Bài viết cùng chủ đề

Hệ thống đang xử lý .Quý khách vui lòng không tắt trình duyệt!
× Lổi!
×
×
Web Analytics