Memcached peut accélérer les sites web, mais un serveur memcached peut également être exploité pour effectuer une attaque DDoS.
Cet article s'articule autour des points suivants :
Contenu associé
Qu'est-ce qu'une attaque DDoS ?
L'attaque par déni de service
Logiciels malveillants
Attaque par amplification DNS
Attaque SYN flood
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Une attaque par déni de service distribué (DDoS) en memcached est un type de cyber-attaque dans laquelle un pirate tente de surcharger une victime ciblée avec du trafic internet. Le pirateenvoit des requêtes falcifiées à un serveur UDP vulnérable mis en cache /learning/ddos/what-is-a-ddos-attack/, qui inonde ensuite une victime ciblée de trafic internet, ce qui peut entraîner une surcharge des ressources de la victime. Alors que l'infrastructure internet de la cible est surchargée, les nouvelles requêtes ne peuvent pas être traitées et le trafic régulier ne peut pas accéder à la ressource internet, ce qui entraîne un déni de service.
*Memcached est un système de mise en cache de base de données pour accélérer les sites web et les réseaux.
Voici les datacenters du réseau mondial de Cloudflare et la quantité relative de trafic d'attaque memcached qu'ils ont reçu lors d'une récente attaque.
Les attaques par Memcached fonctionnent de la même manière que toutes les attaques par amplification DDoS telles que l'amplification NTP et l'amplification DNS. L'attaque fonctionne en envoyant des requêtes falsifiées à un serveur vulnérable, qui répond alors avec une quantité de données plus importante que la requête initiale, amplifiant ainsi le volume du trafic.
On peut penser placer l'amplification memcached dans le contexte d'un adolescent malveillant qui appelle un restaurant et dit : "Je vais prendre un plat de chaque élément de votre menu. Veuillez me rappeler pour me dire tout ce que j'ai commandé". Lorsque le restaurant demande un numéro de rappel, l’adolescent lui communique un numéro de téléphone qui s’avère être celui de la victime ciblée. La cible reçoit alors un appel du restaurant l’inondant d’informations qu’elle n’a pas demandées.
Cette méthode d'attaque par amplification est possible car les serveurs memcached ont la possibilité de fonctionner en utilisant le protocole UDP. UDP est un protocole réseau qui permet d'envoyer des données sans qu'on ait reçu au préalable ce que l'on appelle une poignée de main, qui est un processus réseau où les deux parties s'accorder d'entrer en communication. Le protocole UDP est exploité parce qu'il y a jamais besoin de savoir si l'hôte ciblé voudrait recevoir du contenu ou pas, ce qui permet d'envoyer une quantité massive de données à la cible sans son consentement préalable.
Une attaque en memcached se déroule en 4 étapes :
Voici une attaque par memcached de 260 Go par seconde contre le réseau de Cloudflare qui est en cours d'atténuation
Le facteur d'amplification de ce type d'attaque est vraiment stupéfiant ; dans la pratique, nous avons constaté des facteurs d'amplification allant jusqu'à un quantité étonnante de de 51 200x ! Cela signifie que pour une requête de 15 octets, une réponse de 750 Ko peut être envoyée. Ce qui représente un facteur d'amplification massif et un risque de sécurité pour les propriétés web qui ne peuvent pas supporter le poids de ce volume de trafic d'attaque. Un facteur d'amplification aussi important, associé à des serveurs vulnérables, fait du memcached un domaine de prédilection pour les pirates qui cherchent à lancer des DDoS contre diverses cibles.
Cloudflare filtre le trafic UDP à la périphérie de notre réseau, éliminant ainsi le risque posé par les attaques par amplification comme celle-ci. En savoir plus sur la protection DDoS avancée de Cloudflare.
Pour voir de prêt comment Cloudflare fait face aux attaques memcached et les commandes et processus spécifiques d'atténuation auxquels il recours, consultez le blog Memcrashed - Major amplification attacks from UDP port 11211.