Memcached服务器对DDOS攻击者无法抗拒,专家警告
Memcached Server是一种不可抗拒的有吸引力的手段,可以在任何目标下射击包装的大炮,而无需僵尸网络基础设施,警告Tod Beardsley,Rapid7的研究总监。
该警告追求软件开发平台GitHub揭示它幸存了最大的记录分布式拒绝服务(DDOS)攻击1.35Tbps的峰值。
到目前为止,这种大小的攻击已经与东西互联网(IOT)启用了Botnet的DDOS攻击,例如基于Mirai的攻击域名系统(DNS)服务SupplyieryNin 2016年10月,据报道,据据据据达到约1.2Tbps。
“使用MEMCACHED扩增攻击对GitHub的攻击是使用这种技术的DDOS新世界的预兆,直到这些脆弱的MEMCACHED服务器本身启动了互联网,”BEARDSLEY说。
Memcached是一个开源,分布式内存对象缓存系统,可缓解数据库负载以加速动态Web应用程序。
但是,Memcached是Beardsley的DDOS攻击是完美的,因为默认情况下,它产生了数千个字节的UDP(用户数据报协议)响应了一个非常短的UDP请求。
“这一请求可以很容易地欺骗并通过低技能和资源很少的攻击者利用,并且不需要任何认证,”他说。“毕竟,MEMCACHED的设计目的是快速,没有太多警告,但是在今天的互联网上,MEMCACHED的MEMCACHED的设计是宽苦的。”
GitHub能够在仅10分钟后恢复其服务,但只有在Akamai Provexic的帮助下,一项服务通过其较大的网络通过路由流量并阻止恶意请求来缓解这些事件。
虽然GitHub能够处理这个规模的DDOS攻击,但并非所有组织都有相同的资源,留下基于麦克斯特的DDOS攻击应该是一个易受攻击的人的原因,说Beardsley。“防火墙规则来阻止UDP源端口11211的未经请求的流量应该是今天的互联网网络的De Rigueur,”他说。
根据Beardsley的说法,依赖Memcached用于正常高速缓存功能的组织,并且必须将其暴露在互联网上,只使用TCP接口将缓解欺骗问题,但以某种性能成本。
“很多人都惊讶于首先,Memcached ran在UDP上运行了,因此大多数普通用户只是需要禁用他们没有使用的UDP功能,”他说。
对于那些“绝对坚持”的人,他们的申请必须使用Memcached在UDP上,Beardsley表示,他怀疑他们会很快就业。
“每一表明都是迹象表明,世界过度的信誉互联网托管公司将在ISP [Internet服务提供商]层上禁用此协议,因为MEMCACHED OVER UDP无法在开放的互联网上运行太危险,”他说。
建议MEMCACHED服务器的运营商:
确保所有MEMCACHED服务器都没有暴露在互联网上。阻止在每个面向Internet的防火墙中访问UDP端口11211。在所有Memcached服务器上禁用UDP。Sammy Migues,Synopsys的主要科学家表示,关于Github的攻击强调了组织运营Memcached Servers实施一些非常基本的安全措施的重要性。
“影响很小,因为GitHub表示准备存活的攻击大于这一点,”他说。“除非这些MEMCACHED服务器的不知情运营商采取纠正措施,否则不可避免的是,其他设备的目标将使受害者成为类似的DDOS攻击并遭受更长时间的停电。”