Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных серверов Memcached. Метод атаки с использованием усилителя трафика основа на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики (команда STAT), размер пакетов с которой во много раз могут превышать размер исходного запроса. Второй вариант заключается в загрузке в кэш большого блока данных с последующей отправкой с поддельного адреса жертвы запросов на загрузку этих данных (команда GET).
В случае Memecached, размер запроса составляет 15 байт, а ответ может включать сотни килобайт данных. В одной из изученных атак средний размер ответа составил 150 КБ (усиление в 9000-10000 раз). Наибольший зафиксированный в атаках размер ответа составил 750 КБ. В зависимости от сервера коэффициент усиления трафика может достигать 10-50 тысяч, что является абсолютным рекордом среди методов усиления атак. Для сравнения коэффициент усиления трафика для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SSDP - 20, SNMPv2 - 6.
Опасность представляют некорректно настроенные серверы, в которых Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию и расчитан на прикрепление к внутреннему сетевому порту или ограничение досутупа на уровне межсетевого экрана, что позволяет любому обратиться к незащищённому хранилищу Memcached, а поддержка протокола UDP даёт возможность подделать обратный адрес, на который будет отправлен ответ. По предварительной оценке (https://www.shodan.io/report/N7ttll7J) в сети насчитывается 93 тысячи общедоступных серверов Memcached.
Всем администраторам рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром. При установке из пакетов в Ubuntu 16.04 по умолчанию memcached привязывается к localhost, но при установке из пакета в CentOS 7.4 осуществляется привязка ко всем имеющимся сетевым интерфейсам. Разработчики Memcached оперативно выпустили (https://github.com/memcached/memcached/wiki/ReleaseNotes156) обновление 1.5.6, в котором по умолчанию отключили привязку к UDP-порту, что может нарушить работу завязанных на UDP систем после проведения обновления, если явно не включить в параметрах запуска поддержку UDP (опция "-U 11211").
URL: http://www.senki.org/memcached-on-port-11211-udp-tcp-being-e.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=48161