1. Tấn công bộ nhớ đệm
Mới đây, các chuyên gia đã phát hiện ra một nhóm tin tặc đã thực hiện một phương thức tấn công mới có khả năng khuếch đại cuộc tấn công DDoS lên gấp 51.000 lần kích thước ban đầu, và đây được coi là một phương thức tấn công khuếch đại. đạt được hiệu quả lớn nhất trong lịch sử.
Phương thức tấn công này khai thác lỗ hổng của memcached – một hệ thống lưu trữ các bản sao của các đối tượng (các đối tượng) và dữ liệu được truy cập nhiều lần để tăng tốc độ truy xuất. Nó thường được sử dụng để tối ưu hóa việc tải dữ liệu từ cơ sở dữ liệu cho các ứng dụng dựa trên web.
Các chuyên gia bảo mật lo ngại, thời gian tới, tin tặc sẽ liên tục sử dụng chiêu thức tấn công này để tấn công các website và hạ tầng internet. Và tuần trước, nhóm tin tặc này đã bắt đầu triển khai một cuộc tấn công 500 gigabit / s đến từ cổng 11211 của UDP.
Ý tưởng chung đằng sau tất cả các cuộc tấn công khuếch đại là như nhau. Tin tặc sẽ giả mạo IP mục tiêu và gửi yêu cầu giả mạo đến một máy chủ UDP dễ bị tấn công. Máy chủ UDP không nhận thức được yêu cầu giả mạo và sẽ ngay lập tức gửi lại một lượng lớn dữ liệu không mong muốn tới mục tiêu.
Các cuộc tấn công khuếch đại thường hiệu quả và gây ra tác hại lớn, bởi vì các gói trả lời thường lớn hơn nhiều so với gói yêu cầu.
Các chuyên gia tại Cloudflare CDN cho biết cuộc tấn công đến từ gần 6000 máy chủ memcached được tìm thấy trên internet. Tuy nhiên, họ cũng cho biết, có hơn 88.000 máy chủ tương tự trên thế giới và tiềm năng tấn công của phương thức này lớn hơn nhiều so với vụ tấn công vừa được ghi nhận.
Johnathan Azaria, chuyên gia bảo mật dịch vụ bảo vệ DDoS của Imperva, ước tính độ phóng đại là 9.000x đối với memcached và 557x đối với NTP. Ngoài ra, ước tính số lượng máy chủ ghi nhớ có sẵn trên internet chạy cổng 11211 là 93.000. Mặc dù các số liệu khác nhau được sử dụng, số lượng máy chủ memcached và khả năng xảy ra cuộc tấn công vẫn chưa từng có.
2. Giải pháp xử lý hình thức tấn công mới này (theo các chuyên gia Cloudflare)
Để ngăn chặn các cuộc tấn công qua hình thức này. Dưới đây là danh sách những việc bạn cần làm.
2.1. Đối với người dùng Memcached
Nếu bạn đang sử dụng memcached, vui lòng tắt hỗ trợ UDP nếu bạn không sử dụng nó. Khi khởi động memcached, bạn có thể chỉ định –listen 127.0.0.1 để lắng nghe trên localhost và -U 0 để tắt hoàn toàn UDP. Theo mặc định, memcached sẽ lắng nghe trên INADDR_ANY và chạy nếu giao thức UDP đang mở.
Bạn có thể tham khảo thêm tài liệu tại link: https://github.com/memcached/memcached/wiki/ConfiguringServer#udp
Bạn có thể dễ dàng kiểm tra xem máy chủ của mình có bị tấn công hay không bằng cách chạy lệnh sau:
$ echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 127.0.0.1 11211
STAT pid 21357
STAT uptime 41557034
STAT time 1519734962
...
Nếu các kết quả trên được trả về, máy chủ của bạn đang bị tấn công.
2.2 Đối với Quản trị Hệ thống
Cài đặt tường lửa cho máy chủ lưu trữ của bạn! Để kiểm tra xem chúng có thể được truy cập bằng giao thức UDP hay không, HOSTVN khuyên bạn nên sử dụng lệnh “echo” để kiểm tra như trên. Hoặc để kiểm tra xem TCP đã đóng hay chưa, hãy chạy lệnh nmap như sau:
$ nmap TARGET -p 11211 -sU -sS --script memcached-info
Starting Nmap 7.30 ( https://nmap.org ) at 2018-02-27 12:44 UTC
Nmap scan report for xxxx
Host is up (0.011s latency).
PORT STATE SERVICE
11211/tcp open memcache
| memcached-info:
| Process ID 21357
| Uptime 41557524 seconds
| Server time 2018-02-27T12:44:12
| Architecture 64 bit
| Used CPU (user) 36235.480390
| Used CPU (system) 285883.194512
| Current connections 11
| Total connections 107986559
| Maximum connections 1024
| TCP Port 11211
| UDP Port 11211
|_ Authentication no
11211/udp open|filtered memcache
————————
Mọi thắc mắc và hỗ trợ kỹ thuật vui lòng liên hệ HOSTVN qua:
Chúc may mắn!
(Bài viết có tham khảo từ GenK)
