Написать пост

Заражённые серверы Memcached стали оружием для проведения массовой DDoS-кампании

Аватар Иван Лотошников

Из-за ошибки в конфигурации UDP-портов злоумышленникам удалось заразить серверы утилиты Memcached и устроить общемировую волну DDoS-атак. Всем разработчикам, пользователям и сетевым администраторам настоятельно рекомендуется по возможности отключить поддержку UDP на используемых устройствах.

Исследователи из Cloudflare столкнулись с волной DDoS-атак, проводимых через заражённые серверы Memcached — утилиты кэширования данных на основе хеш-таблиц. Масштабную кампанию удалось развернуть из-за того, что разработчики некорректно внедрили поддержку протокола UDP в своем продукте.

Этот тип атак основан на технологии отражающей DDoS. Такая стратегия эффективна, так как размеры ответных пакетов превышают размеры запросов. Это даёт злоумышленникам с небольшим объёмом ресурсов возможность проводить мощные DDoS-кампании.

Как это работает?

Используя IP-адрес жертвы, хакеры отправляют поддельные запросы на уязвимый UDP-сервер. Не зная о фальсификации, сервер готовит ответ. Внедрение UDP в конфигурации по умолчанию позволяет не защищенному брандмауэром серверу отправлять целевому хосту тысячи ответов, выводя из строя сеть жертвы.

Заражённые серверы Memcached стали оружием для проведения массовой DDoS-кампании 1

По словам Cloudflare, самая крупная из зафиксированных DDoS-атак на основе Memcached достигла 260 гигабайт в секунду (GBPS) и 23 миллионов пакетов в секунду (PPS).

Заражённые серверы Memcached стали оружием для проведения массовой DDoS-кампании 2

Уязвимые серверы распределены по всему миру, однако наибольшая концентрация атак отмечается в Северной Америке и Европе.

Заражённые серверы Memcached стали оружием для проведения массовой DDoS-кампании 3

Исследователи просят разработчиков не использовать UDP или (при отсутствии такой возможности) отключать его по умолчанию. Сетевым администраторам следует в обязательном порядке проверить, защищены ли серверы межсетевым экраном. Пользователям Memcached настоятельно рекомендуется деактивировать порт UDP командами --listen 127.0.0.1 (прослушивание только локального порта) или -U 0 (полное отключение UDP).

Безопасность
1532