Memcached può velocizzare i siti Web, ma un server memcached può essere sfruttato anche per eseguire un attacco DDoS.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Che cos’è un attacco DDoS?
Cos'è un attacco denial-of-service (DoS)?
Malware
Attacco di amplificazione DNS
Attacco SYN flood
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Un attacco memcached di tipo distributed denial-of-service (DDoS) è un attacco informatico in cui un aggressore tenta di sovraccaricare una vittima designata con traffico Internet. L'aggressore falsa le richieste a un server memcached UDP vulnerabile*, che poi inonda la vittima presa di mira con traffico Internet, potenzialmente sovraccaricando le sue risorse. Finché l'infrastruttura Internet del bersaglio è sovraccarica, le nuove richieste non possono essere elaborate e il traffico regolare non è in grado di accedere alla risorsa Internet, con conseguente negazione del servizio.
*Memcached è un sistema di caching di database per velocizzare siti Web e reti.
Ecco i datacenter nella rete globale di Cloudflare e la quantità relativa di traffico di attacco memcached che hanno ricevuto durante un recente attacco.
Un attacco memcached funziona in modo simile a tutti gli attacchi di amplificazione DDoS, come l'amplificazione NTP e l'amplificazione DNS. L'attacco funziona inviando richieste falsificate a un server vulnerabile, il quale risponde con una quantità di dati maggiore rispetto alla richiesta iniziale, amplificando il volume del traffico.
L'amplificazione di Memcached può essere immaginata nel contesto di un adolescente malizioso che chiama un ristorante e dice: "Vorrei un po' di tutto, per favore richiamatemi e raccontatemi tutto il menu". Quando il ristorante chiede il numero da richiamare, gli viene fornito quello della vittima designata. Così la vittima riceverà una chiamata dal ristorante con una marea di informazioni non richieste.
Questo metodo di attacco di amplificazione è possibile perché i server memcached possono operare tramite protocollo UDP. L'UDP è un protocollo di rete che consente l'invio di dati senza la necessità di un handshake preliminare, ovvero un processo di rete in cui entrambe le parti stabiliscono una comunicazione. L'UDP viene utilizzato poiché l'host di destinazione non viene mai consultato sulla sua disponibilità a ricevere i dati, consentendo l'invio di un'enorme quantità di dati alla destinazione senza il suo previo consenso.
Un attacco memcached si verifica in quattro passaggi:
Si tratta di un attacco memcached da 260 GB al secondo contro la rete di Cloudflare che viene mitigato
Il fattore di ingrandimento di questo tipo di attacco è davvero sconcertante: in pratica abbiamo assistito a fattori di amplificazione fino a ben 51.200x! Ciò significa che, per una richiesta di 15 byte, è possibile inviare una risposta di 750 kB. Ciò rappresenta un enorme fattore di amplificazione e un rischio per la sicurezza per le proprietà web che non sono in grado di sostenere il peso di questo volume di traffico di attacco. Avere un fattore di amplificazione così elevato, unitamente a server vulnerabili, rende memcached un caso d'uso ideale per gli aggressori che desiderano lanciare attacchi DDoS contro vari obiettivi.
Cloudflare filtra il traffico UDP al nostro perimetro di rete, eliminando il rischio posto da attacchi di amplificazione come questo. Esplora la protezione da attacchi DDoS avanzata di Cloudflare.
Per un'analisi più approfondita di Cloudflare di fronte agli attacchi memcached e dei comandi e processi specifici per la mitigazione, consulta il post del blog Memcrashed - Attacchi di amplificazione importanti dalla porta UDP 11211.