forum.opennet.ru

Составление сообщения

Исходное сообщение

"Зафиксировано использование Memcached в качестве усилителя т..."
Отправлено opennews, 28-Фев-18 12:20

Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных серверов Memcached. Метод атаки с использованием усилителя трафика основа на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).
Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики (команда STAT), размер пакетов с которой во много раз могут превышать размер исходного запроса. Второй вариант заключается в загрузке в кэш большого блока данных с последующей отправкой с поддельного адреса жертвы запросов на загрузку этих данных (команда GET).
В случае Memecached, размер запроса составляет 15 байт, а ответ может включать сотни килобайт данных. В одной из изученных атак средний размер ответа составил 150 КБ (усиление в 9000-10000 раз). Наибольший зафиксированный в атаках размер ответа составил 750 КБ. В зависимости от сервера коэффициент усиления трафика может достигать 10-50 тысяч, что является абсолютным рекордом среди методов усиления атак. Для сравнения коэффициент усиления трафика для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SSDP - 20, SNMPv2 - 6.
Опасность представляют некорректно настроенные серверы, в которых Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию и расчитан на прикрепление к внутреннему сетевому порту или ограничение досутупа на уровне межсетевого экрана, что позволяет любому обратиться к незащищённому хранилищу Memcached, а поддержка протокола UDP даёт возможность подделать обратный адрес, на который будет отправлен ответ. По предварительной оценке (https://www.shodan.io/report/N7ttll7J) в сети насчитывается 93 тысячи общедоступных серверов Memcached.

Всем администраторам рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром. При установке из пакетов в Ubuntu 16.04 по умолчанию memcached привязывается к localhost, но при установке из пакета в CentOS 7.4 осуществляется привязка ко всем имеющимся сетевым интерфейсам. Разработчики Memcached оперативно выпустили (https://github.com/memcached/memcached/wiki/ReleaseNotes156) обновление 1.5.6, в котором по умолчанию отключили привязку к UDP-порту, что может нарушить работу завязанных на UDP систем после проведения обновления, если явно не включить в параметрах запуска поддержку UDP (опция "-U 11211").

URL: http://www.senki.org/memcached-on-port-11211-udp-tcp-being-e.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=48161

Исходное сообщение
"Зафиксировано использование Memcached в качестве усилителя т..." Отправлено opennews, 28-Фев-18 12:20
Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных серверов Memcached. Метод атаки с использованием усилителя трафика основа на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг). Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики (команда STAT), размер пакетов с которой во много раз могут превышать размер исходного запроса. Второй вариант заключается в загрузке в кэш большого блока данных с последующей отправкой с поддельного адреса жертвы запросов на загрузку этих данных (команда GET). В случае Memecached, размер запроса составляет 15 байт, а ответ может включать сотни килобайт данных. В одной из изученных атак средний размер ответа составил 150 КБ (усиление в 9000-10000 раз). Наибольший зафиксированный в атаках размер ответа составил 750 КБ. В зависимости от сервера коэффициент усиления трафика может достигать 10-50 тысяч, что является абсолютным рекордом среди методов усиления атак. Для сравнения коэффициент усиления трафика для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SSDP - 20, SNMPv2 - 6. Опасность представляют некорректно настроенные серверы, в которых Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию и расчитан на прикрепление к внутреннему сетевому порту или ограничение досутупа на уровне межсетевого экрана, что позволяет любому обратиться к незащищённому хранилищу Memcached, а поддержка протокола UDP даёт возможность подделать обратный адрес, на который будет отправлен ответ. По предварительной оценке (https://www.shodan.io/report/N7ttll7J) в сети насчитывается 93 тысячи общедоступных серверов Memcached. Всем администраторам рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром. При установке из пакетов в Ubuntu 16.04 по умолчанию memcached привязывается к localhost, но при установке из пакета в CentOS 7.4 осуществляется привязка ко всем имеющимся сетевым интерфейсам. Разработчики Memcached оперативно выпустили (https://github.com/memcached/memcached/wiki/ReleaseNotes156) обновление 1.5.6, в котором по умолчанию отключили привязку к UDP-порту, что может нарушить работу завязанных на UDP систем после проведения обновления, если явно не включить в параметрах запуска поддержку UDP (опция "-U 11211"). URL: http://www.senki.org/memcached-on-port-11211-udp-tcp-being-e.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=48161

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в 
> которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных 
> серверов Memcached. Метод атаки с использованием усилителя трафика основа на том, 
> что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на 
> систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с 
> подставным обратным адресом жертвы (спуфинг).

> Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол 
> UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики 
> (команда STAT), размер пакетов с которой во много раз могут превышать 
> размер исходного запроса. Второй вариант заключается в загрузке в кэш большого 
> блока данных с последующей отправкой с поддельного адреса жертвы запросов на 
> загрузку этих данных (команда GET).

> В случае Memecached, размер запроса составляет 15 байт, а ответ может включать 
> сотни килобайт данных. В одной из изученных атак средний размер ответа 
> составил 150 КБ (усиление в 9000-10000 раз). Наибольший зафиксированный в атаках 
> размер ответа составил 750 КБ. В зависимости от сервера коэффициент усиления 
> трафика может достигать 10-50 тысяч, что является абсолютным рекордом среди методов 
> усиления атак. Для сравнения коэффициент усиления трафика для NTP составляет 556 
> раз, DNS - 28-54, RIPv2 - 21, SSDP - 20, SNMPv2 
> - 6.

> Опасность представляют некорректно настроенные серверы, в которых  Memcached прикреплён 
> к внешнему сетевому порту и может принимать запросы извне. Memcached не 
> поддерживает аутентификацию и расчитан на прикрепление к внутреннему сетевому порту или 
> ограничение досутупа на уровне межсетевого экрана, что позволяет любому обратиться к 
> незащищённому хранилищу Memcached, а поддержка протокола UDP даёт возможность подделать 
> обратный адрес, на который будет отправлен ответ. По предварительной оценке (https://www.shodan.io/report/N7ttll7J) 
> в сети насчитывается 93 тысячи общедоступных серверов Memcached.

> Всем администраторам рекомендуется проверить свои системы на предмет наличия открытого 
> доступа к сетевому порту 11211 и заблокировать возможность обращения к нему 
> из внешних сетей пакетным фильтром. При установке из пакетов в Ubuntu 
> 16.04 по умолчанию memcached привязывается к localhost, но при установке из 
> пакета в  CentOS 7.4 осуществляется привязка ко всем имеющимся сетевым 
> интерфейсам. Разработчики Memcached оперативно выпустили (https://github.com/memcached/memcached/wiki/ReleaseNotes156) 
> обновление 1.5.6, в котором по умолчанию отключили привязку к UDP-порту, что 
> может нарушить работу  завязанных на UDP систем после проведения обновления, 
> если явно не включить в параметрах запуска поддержку UDP (опция "-U 
> 11211").

> URL: http://www.senki.org/memcached-on-port-11211-udp-tcp-being-exploited/ 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=48161

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру