LinuxParty

NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.
Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Los ciberdelincuentes descubrieron en 2018 una manera de abusar de los servidores ampliamente utilizados Memcached para lanzar ataques DDoS 51.000 veces más potentes que su fuerza original, lo que podría resultar en el derribo de los principales sitios web y la infraestructura de Internet.

Los investigadores de seguridad de Cloudflare, Arbor Networks, y la firma de seguridad china Qihoo 360 notaron que los piratas informáticos ahora están abusando de "Memcached" para amplificar sus ataques DDoS en un factor sin precedentes de 51.200 veces.

Memcached es un popular sistema de almacenamiento en caché distribuido de código abierto y fácil de implementar que permite almacenar objetos en la memoria y ha sido diseñado para funcionar con una gran cantidad de conexiones abiertas. El servidor Memcached se ejecuta en el puerto TCP o UDP 11211. La aplicación Memcached ha sido diseñada para acelerar las aplicaciones web dinámicas al reducir el estrés en la base de datos que ayuda a los administradores a aumentar el rendimiento y escalar las aplicaciones web. Es ampliamente utilizado por miles de sitios web, incluidos Facebook, Flickr, Twitter, Reddit, YouTube y Github.

Apodado Memcrashed por Cloudflare, el ataque aparentemente abusa de los servidores Memcached desprotegidos que tienen UDP habilitado para entregar ataques DDoS 51,200 veces su fuerza original, lo que lo convierte en el método de amplificación más prominente jamás utilizado en la naturaleza hasta ahora.

¿Cómo funciona el ataque de amplificación DDoS Memcrashed?

Al igual que otros métodos de amplificación en los que los piratas informáticos envían una pequeña solicitud desde una dirección IP falsificada para obtener una respuesta mucho mayor a cambio, el ataque de amplificación Memcrashed también funciona enviando una solicitud falsificada al servidor objetivo (servidor UDP vulnerable) en el puerto 11211 utilizando una IP falsificada. dirección que coincide con la IP de la víctima.

Según los investigadores, solo unos pocos bytes de la solicitud enviada al servidor vulnerable pueden desencadenar la respuesta de decenas de miles de veces más.

"15 bytes de solicitud activaron 134 KB de respuesta. ¡Este es un factor de amplificación de 10,000x! En la práctica, hemos visto que una solicitud de 15 bytes da como resultado una respuesta de 750kB (eso es una amplificación de 51,200x)", dice Cloudflare.

Según los investigadores, la mayoría de los servidores Memcached abusados ​​para ataques DDoS de amplificación están alojados en OVH , Digital Ocean, Sakura y otros pequeños proveedores de alojamiento. En total, los investigadores han visto sólo 5.729 direcciones IP de origen únicas asociadas con servidores Memcached vulnerables, pero "esperan ver ataques mucho mayores en el futuro, ya que Shodan informa 88.000 servidores Memcached abiertos". Cloudflare dice.

"En el pico, hemos visto 260 Gbps de tráfico UDP memcached entrante. Esto es enorme para un nuevo vector de amplificación. Pero los números no mienten. Es posible porque todos los paquetes reflejados son muy grandes", dice Cloudflare.

Arbor Networks señaló que las consultas de preparación de Memcached utilizadas en estos ataques también podrían dirigirse al puerto TCP 11211 en servidores Memcached abusivos.

ataque ddos ​​memcached

Pero TCP no se considera actualmente un vector de reflexión / amplificación Memcached de alto riesgo porque las consultas de TCP no se pueden falsificar de manera confiable.

Los vectores de ataque de amplificación DDoS conocidos popularmente que informamos en el pasado incluyen servidores de resolución de sistemas de nombres de dominio (DNS) mal asegurados , que amplifican los volúmenes aproximadamente 50 veces, y el protocolo de tiempo de red (NTP), que aumenta el volumen de tráfico en casi 58 veces.

Mitigación: ¿Cómo reparar los servidores Memcached?

Una de las formas más sencillas de evitar que se abuse de sus servidores Memcached como reflectores es el cortafuegos, el bloqueo o la limitación de velocidad de UDP en el puerto de origen 11211.

Dado que Memcached escucha en INADDR_ANY y se ejecuta con la compatibilidad con UDP habilitada de forma predeterminada, se recomienda a los administradores que deshabiliten la compatibilidad con UDP. si no lo están usando.

Los proveedores de servicios de Internet (ISP) no pueden defender fácilmente el tamaño del ataque potencialmente creado por la reflexión de Memcached, siempre que se permita la suplantación de IP en Internet.

Pin It

Escribir un comentario


Código de seguridad
Refescar



Redes:



 

Suscribete / Newsletter

Suscribete a nuestras Newsletter y periódicamente recibirás un resumen de las noticias publicadas.

Donar a LinuxParty

Probablemente te niegues, pero.. ¿Podrías ayudarnos con una donación?


Tutorial de Linux

Filtro por Categorías