Nov način napada DDoS omogoča 50.000-kratno ojačitev
Matej Huš
28. feb 2018 ob 20:04:42
V minulih dveh letih smo bile priče nekaterih izjemno obsežnim napadom DDoS, ki so z uporabo ojačitev prek strežnikov NTP ali DNS dosegali več sto gigabitov na sekundo. Ko je na internet let 2016 ušla koda Mirai, ki je sleherniku omogočila uporabo naprav IoT v botnetu za napade DDoS, sta pogostnost in obseg napadov zrasla. Sedaj pa so raziskovalci ugotovili, da se pojavlja nova vrsta napada DDoS, ki dosega faktor ojačitve 50.000. Za primerjavo: prek NTP ali DNS je ta faktor okrog 50.
To pot napad izkorišča storitev memcached. Gre za sistem, ki omogoča pospešitev dostopa do podatkovnih baz na omrežijih in spletnih straneh. Arbor Networks in Cloudfare opozarjata, da se v praksi ti napadi že pojavljajo. Ker memcached posluša tudi prek protokola UDP na vratih 11211, je to idealen vektor za visoko ojačitev napada. Iz 15 bajtov velikega zahtevka je mogoče iztisniti 750 kilobajtov velik odgovor, ki potuje proti žrtvi. Ranljivi strežniki memcached, ki jih je moč zlorabiti, se nahajajo zlasti v ZDA, Evropi in na Kitajskem. Zaradi tega vsem lastnikom strežnikov memcached svetujejo, da onemogočijo odgovore na UDP, kar ni privzeta nastavitev. Prav tako naj bodo strežniki memcached dostopni le iz notranjega omrežja, če ni drugačnih potreb.
To je tudi glavni problem. Protokol UDP je oblikovan tako, da kar kliče po zlorabah, zato če ni res nujno, je njegovo uporabo najbolje onemogočiti. Trenutni napadi vključujejo okrog 6000 strežnikov memcached in že dosegajo 500 Gb/s, na internetu pa je okrog sto tisoč ranljivih strežnikov memcached.