O memcached pode acelerar sites, mas um servidor memcached também pode ser explorado para realizar um ataque DDoS.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
O que é ataque DDoS?
O que é um ataque de negação de serviço (DoS)?
Malware
Ataque de amplificação de DNS
Ataque de inundação SYN
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Um ataque de negação de serviço distribuída (DDoS) memcached é um tipo de ataque cibernético no qual um invasor tenta sobrecarregar uma vítima alvo com tráfego da internet. O invasor falsifica solicitações para um servidor vulnerável de UDP memcached*, que então inunda uma vítima alvo com tráfego de internet, potencialmente sobrecarregando os recursos da vítima. Enquanto a infraestrutura de internet do alvo está sobrecarregada, novas solicitações não podem ser processadas e o tráfego regular não consegue acessar o recurso da internet, resultando em negação de serviço.
*O memcached é um sistema de cache de banco de dados para agilizar sites e redes.
Aqui estão os data centers na Rede global da Cloudflare e a quantidade relativa de tráfego de ataque memcached que eles receberam durante um ataque recente.
Um ataque memcached opera de maneira semelhante a todos os ataques de amplificação de DDoS, como Amplificação de NTP e Amplificação de DNS. O ataque funciona enviando solicitações falsificadas para um servidor vulnerável, que então responde com uma quantidade de dados maior do que a solicitação inicial, ampliando o volume de tráfego.
A amplificação do memcached pode ser comparada a um adolescente malicioso que liga para um restaurante e diz, "Quero todos os itens do seu cardápio, um de cada. Agora me ligue de volta e repita todo o meu pedido”. Quando o restaurante pergunta para qual telefone deve retornar, o número fornecido é o da vítima visada. Em seguida, a vítima recebe uma ligação do restaurante com muitas informações que não solicitou.
Esse método de ataque de amplificação é possível porque os servidores memcached têm a opção de operar usando o protocolo UDP. O UDP é um protocolo de rede que permite o envio de dados sem primeiro obter o que é conhecido como handshake, que é um processo de rede em que ambos os lados concordam com a comunicação. O UDP é utilizado porque o host de destino nunca é consultado sobre se está ou não disposto a receber os dados, permitindo que uma grande quantidade de dados seja enviada ao destino sem seu consentimento prévio.
Um ataque memcached ocorre em 4 etapas:
Este é um ataque de memcached de 260 GB por segundo contra a rede da Cloudflare sendo mitigado
O fator de ampliação desse tipo de ataque é realmente impressionante; na prática, testemunhamos fatores de amplificação de até 51.200x! Isso significa que para uma solicitação de 15 bytes, uma resposta de 750 kB pode ser enviada. Isso representa um grande fator de amplificação e risco de segurança para propriedades da web que não conseguem suportar o peso desse volume de tráfego de ataque. Ter um fator de amplificação tão grande acoplado a servidores vulneráveis torna o memcached um caso de uso principal para invasores que desejam lançar DDoS contra vários alvos.
A Cloudflare filtra o tráfego UDP em nossa borda de rede, eliminando o risco de ataques de amplificação como este. Explore a proteção contra DDoS avançada da Cloudflare.
Para uma visão mais aprofundada da batalha da Cloudflare contra ataques memcached e comandos e processos específicos para mitigação, explore a postagem do blog Memcrashed - Principais ataques de amplificação da porta UDP 11211.