MemcachedはWebサイトを高速化できますが、memcachedサーバーはDDoS攻撃を実行するために悪用されることもあります。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
memcached分散型サービス拒否(DDoS)攻撃は、攻撃者がインターネットトラフィックで標的となる被害者に過負荷をかけようとするサイバー攻撃の一種です。攻撃者は脆弱なUDP memcached*サーバーにリクエストをスプーフし、標的となる被害者をインターネットトラフィックであふれさせ、被害者のリソースを圧倒する可能性があります。標的のインターネットインフラストラクチャが過負荷にされている間、新しいリクエストを処理することはできず、通常のトラフィックは、その結果、インターネットリソースにアクセスすることができません。その結果、サービス拒否が発生します。
* Memcachedは、Webサイトおよびネットワークを高速化するためのデータベースのキャッシュシステムです。
Cloudflareのグローバルネットワークのデータセンターと、最近の攻撃中に受信したmemcached攻撃トラフィックの相対的な量を以下に示しています。
Memcached攻撃は、NTP増幅および DNS増幅など、すべてのDDoS増幅攻撃と同様に動作します。この攻撃は、脆弱なサーバーにスプーフされたリクエストを送信することで機能し、その後、最初のリクエストよりも大量のデータで応答し、トラフィック量を増大します。
Memcached増幅は、悪意のある10代の若者がレストランに電話して、「全部の商品を1つずつください。折り返し電話して、このすべての注文内容を私に教えてください」というような内容として考えることができます。レストラン側が折り返し電話するための番号を聞くと、標的となる被害者の電話番号を伝えられます。その標的となった被害者は、レストランから電話を受け、頼んでもいない多くの情報を聞くことになります。
memcachedサーバーにはUDPプロトコルを使用して動作するオプションがあるため、この増幅攻撃の方法が可能です。UDPは、最初にハンドシェイクと呼ばれるものを取得せずにデータを送信できるネットワークプロトコルであり、両側が通信に同意するネットワークプロセスです。UDPが使用されるのは、標的のホストがデータを受信するかどうかについて相談されないため、事前の同意なしに大量のデータを標的に送信できるようにするためです。
memcached攻撃は次の4つのステップで発生します:
これは、Cloudflareのネットワークが軽減される際の、毎秒260 GBのmemcached攻撃です。
このタイプの攻撃の拡大率は本当に驚異的で、実際に、最大51,200倍の増幅率を目撃しています。つまり、15バイトのリクエストの場合、750 kBの応答を送信できます。これは、膨大な増幅係数と、この量の攻撃トラフィックの重みを支えることができないWebプロパティに対するセキュリティリスクを表しています。このような大きな増幅係数と脆弱なサーバーの組み合わせにより、memcachedは、さまざまな標的に対してDDoSを起動しようとする攻撃者にとっての主な使用例になります。
Cloudflareは、ネットワークエッジでUDPトラフィックをフィルタリングし、このような増幅攻撃によってもたらされるリスクを排除します。Cloudflareの高度なDDoS保護をご覧ください。
memcached攻撃、および軽減のための特定のコマンドとプロセスに遭遇した時のCloudflareの詳細については、ブログ記事Memcrashed - UDPポート11211からの主要な増幅攻撃をご覧ください。