С конца прошлой недели исследователи наблюдают резкий рост числа DDoS-атак с отражением и усилением трафика, использующих в качестве посредников memcached-серверы. Мощность этого потока, поступающего с UDP-порта 11211 «отражателей», весьма внушительна: CloudFlare зафиксировала на пике 260 Гбит/с, Akamai — 190 Гбит/с, Arbor — более 500 Гбит/с.

Memcached, как сказано на сайте проекта, — это высокопроизводительная распределенная система кэширования объектов в оперативной памяти, призванная ускорить работу динамических веб-приложений за счет снижения нагрузки на базу данных. Сегментированные данные (код веб-страниц, результаты запросов к базе данных или обращений к API и т. п.) хранятся с заданным временем жизни на множестве серверов; доступ к ним осуществляется по ключу с вычислением значения хеша. При этом объем информации, который можно хранить под одним ключом, по умолчанию ограничен 1 Мбайт.

Как выяснили в CloudFlare, протокол Memcached, согласно спецификациям, способен предоставить дидосерам широкие возможности по увеличению мусорного потока. Он не предполагает каких-либо проверок — то есть источник запроса легко подделать — и гарантирует высокую скорость доставки запрошенных данных. Более того, поскольку для коммуникаций с сервером клиенту дозволительно использовать UDP, на скромный по размеру запрос, как и в случае с серверами DNS, NTP, Chargen, SSDP, можно получить внушительный ответ (в данном случае до 1 Мбайт).

В рамках DDoS-атак, наблюдаемых CloudFlare, величина большинства вредоносных UDP-пакетов составляла 1400 байт. Временами 15-байтовый запрос злоумышленников возвращал ответ в 750 Кбайт, то есть направленный на мишень поток потенциально мог возрасти в 50 000 раз.

Специалисты Arbor, со своей стороны, отметили, что вредоносные запросы можно также направлять на TCP-порт 11211, однако это менее вероятный сценарий для DDoS, так как источник таких запросов нельзя с уверенностью подменить.

Исследователи отмечают, что Memcached не предназначен для использования на системах с доступом из Интернета. Тем не менее, в клиентских сетях CloudFlare было обнаружено более 5,7 тыс. общедоступных серверов, использующих этот протокол, — с наибольшей концентрацией в Северной Америке и Западной Европе. Больше всего неправильно сконфигурированных серверов оказалось в широкополосных сетях крупнейшего интернет-провайдера OVH (AS16276), поставщика облачных услуг Digital Ocean (AS14061) и японского провайдера Sakura (AS7684).

Пробный поиск Bleeping Computer по Shodan выявил в Интернете более 93,5 тыс. потенциальных пособников в проведении мощнейших DDoS c memcached-плечом (по состоянию на 27 февраля). Большинство из них размещены в США и Китае.

Чтобы предотвратить подобные атаки, пользователям Memcached рекомендуется отключить поддержку UDP-протокола, если в ней нет нужды. Сисадминам следует в обязательном порядке помещать memcached-серверы за сетевой экран, изолируя их от Интернета. Разработчиков memcached-продуктов эксперты призывают не предусматривать активацию UDP по умолчанию, реализовать ту или иную форму аутентификации и ограничить размеры пакетов, возвращаемых сервером, — а лучше вообще воздержаться от использования UDP.

Отследить истинные источники DDoS-атак могут помочь операторы сетей, если они будут блюсти актуальность используемых протоколов, блокировать или замедлять несанкционированный трафик на порту 11211 с помощью соответствующих политик или ACL-списков, а также жестко пресекать попытки подмены IP источника запросов.

Update. Согласно новой блог-записи Akamai, 28 февраля она с успехом отразила рекордную memcached-атаку, мощность которой на пике составила 1,3 Тбит/с. Судя по параллельно опубликованному сообщению на сайте GitHub, дидосеры атаковали именно этот веб-сервис. По данным GitHub, в создании вредоносного потока участвовали не менее 1 тыс. ASN-сетей, совокупно подающих на мишень 126,9 млн пакетов в секунду.

Категории: DoS-атаки, Аналитика, Главное, Кибероборона, Уязвимости