Attacco DDoS memcached

Memcached può velocizzare i siti Web, ma un server memcached può essere sfruttato anche per eseguire un attacco DDoS.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definire un attacco DDoS memcached
  • Spiegare come funziona memcached
  • Evidenziare i metodi per mitigare gli attacchi memcached

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Che cos'è un attacco DDoS memorizzato nella cache?

Un attacco memcached di tipo distributed denial-of-service (DDoS) è un attacco informatico in cui un aggressore tenta di sovraccaricare una vittima designata con traffico Internet. L'aggressore falsa le richieste a un server memcached UDP vulnerabile*, che poi inonda la vittima presa di mira con traffico Internet, potenzialmente sovraccaricando le sue risorse. Finché l'infrastruttura Internet del bersaglio è sovraccarica, le nuove richieste non possono essere elaborate e il traffico regolare non è in grado di accedere alla risorsa Internet, con conseguente negazione del servizio.

*Memcached è un sistema di caching di database per velocizzare siti Web e reti.

Mappa del traffico Memcached di Cloudflare

Ecco i datacenter nella rete globale di Cloudflare e la quantità relativa di traffico di attacco memcached che hanno ricevuto durante un recente attacco.

Come funziona un attacco memcached?

Un attacco memcached funziona in modo simile a tutti gli attacchi di amplificazione DDoS, come l'amplificazione NTP e l'amplificazione DNS. L'attacco funziona inviando richieste falsificate a un server vulnerabile, il quale risponde con una quantità di dati maggiore rispetto alla richiesta iniziale, amplificando il volume del traffico.

L'amplificazione di Memcached può essere immaginata nel contesto di un adolescente malizioso che chiama un ristorante e dice: "Vorrei un po' di tutto, per favore richiamatemi e raccontatemi tutto il menu". Quando il ristorante chiede il numero da richiamare, gli viene fornito quello della vittima designata. Così la vittima riceverà una chiamata dal ristorante con una marea di informazioni non richieste.

Questo metodo di attacco di amplificazione è possibile perché i server memcached possono operare tramite protocollo UDP. L'UDP è un protocollo di rete che consente l'invio di dati senza la necessità di un handshake preliminare, ovvero un processo di rete in cui entrambe le parti stabiliscono una comunicazione. L'UDP viene utilizzato poiché l'host di destinazione non viene mai consultato sulla sua disponibilità a ricevere i dati, consentendo l'invio di un'enorme quantità di dati alla destinazione senza il suo previo consenso.

Un attacco memcached si verifica in quattro passaggi:

  1. Un utente malintenzionato carica un payload dannoso* di grandi dimensioni su un server memcached esposto.
  2. Successivamente, il malintenzionato falsifica una richiesta HTTP GET con l'indirizzo IP della vittima designata.
  3. Il server memcached vulnerabile che riceve la richiesta, che sta cercando di essere utile rispondendo, invia una risposta di grandi dimensioni al bersaglio.
  4. Il server di destinazione o l'infrastruttura circostante non è in grado di elaborare la grande quantità di dati inviata dal server memcached, causando un sovraccarico e un denial-of-service per le richieste legittime.
Memcached

Si tratta di un attacco memcached da 260 GB al secondo contro la rete di Cloudflare che viene mitigato

Quanto può essere grande un attacco di amplificazione memcached?

Il fattore di ingrandimento di questo tipo di attacco è davvero sconcertante: in pratica abbiamo assistito a fattori di amplificazione fino a ben 51.200x! Ciò significa che, per una richiesta di 15 byte, è possibile inviare una risposta di 750 kB. Ciò rappresenta un enorme fattore di amplificazione e un rischio per la sicurezza per le proprietà web che non sono in grado di sostenere il peso di questo volume di traffico di attacco. Avere un fattore di amplificazione così elevato, unitamente a server vulnerabili, rende memcached un caso d'uso ideale per gli aggressori che desiderano lanciare attacchi DDoS contro vari obiettivi.

In che modo può essere mitigato un attacco memcached?

  1. Disabilita l'UDP: per i server memcached, assicurati di disabilitare il supporto UDP se non è necessario. Per impostazione predefinita, memcached ha il supporto UDP abilitato, il che potrebbe rendere vulnerabile un server.
  2. Firewall per server memcached: proteggendo i server memcached da Internet tramite firewall, gli amministratori di sistema possono utilizzare l'UDP per memcached se necessario, senza rischi.
  3. Prevenzione di IP Spoofing: fintanto che gli indirizzi IP possono essere oggetto di IP Spoofing, gli Attacchi DDoS possono sfruttare questa vulnerabilità per indirizzare il traffico verso la rete di una vittima. La prevenzione dell'IP spoofing è una soluzione complessa che non può essere implementata da un singolo amministratore di sistema e richiede ai provider di transito di impedire ai pacchetti con indirizzi IP di origine esterni alla rete di lasciare la propria rete. In altre parole, aziende come i provider di servizi Internet (ISP) devono filtrare il traffico in modo che i pacchetti che escono dalla loro rete non possano simulare di provenire da una rete diversa. Se tutti i principali fornitori di servizi di trasporto pubblico implementassero questo tipo di filtraggio, gli attacchi basati sullo spoofing scomparirebbero da un giorno all'altro.
  4. Sviluppare software con risposte UDP ridotte: un altro modo per eliminare gli attacchi di amplificazione è rimuovere il fattore di amplificazione da qualsiasi richiesta in arrivo. Se i dati di risposta inviati a seguito di una richiesta UDP sono inferiori o uguali alla richiesta iniziale, l'amplificazione non è più possibile.

Cloudflare filtra il traffico UDP al nostro perimetro di rete, eliminando il rischio posto da attacchi di amplificazione come questo. Esplora la protezione da attacchi DDoS avanzata di Cloudflare.

Per un'analisi più approfondita di Cloudflare di fronte agli attacchi memcached e dei comandi e processi specifici per la mitigazione, consulta il post del blog Memcrashed - Attacchi di amplificazione importanti dalla porta UDP 11211.