Nowy sposób wzmacniania ataku DDoS

bezpieczeństwo
cyberataki
DDoS
Krzysztof Surgut
14.03.2018 Krzysztof Surgut

Z końcem lutego br. monitorujące systemy informatyczne wielu organizacji na całym świecie zarejestrowały gwałtowny wzrost ruchu pakietów UDP. To efekt nowego typu wzmacniania ataku DDoS.

Na czym polega wzmacnianie ataków DDoS?


W metodzie wzmacniania wykorzystuje się asymetrię w ilości pakietów wysłanych do ilości pakietów odesłanych – w formie odpowiedzi. W sieci internet wykorzystywanych jest sporo protokołów komunikacyjnych, które posiadają taką asymetrię.

Na przykład krótkie zapytanie do serwera DNS może w odpowiedzi odesłać do pytającego 100 razy więcej pakietów, niż miało samo zapytanie. Jeżeli atakujący wyśle do takiego serwera DNS sfałszowane zapytanie z podstawionym adresem IP ofiary (jako adres pytający), to serwer DNS odpowie na taki adres 100 razy większą ilością pakietów.

Przez wiele lat nauczono się ograniczać ataki odbite czy wzmocnione, szczególnie w zakresie DNS. Mimo to w dalszym ciągu w sieci istnieje tysiące serwerów DNS, które całkiem spokojnie wzmacniają 30-50 razy. Wystarczy wiedzieć, jak ich poszukać oraz jak je odpytać (ostatni, prosty skan, jaki z ciekawości robiłem w tym zakresie parę miesięcy temu, wygenerował mi listę ponad 2500 podatnych serwerów DNS z całego świata).

Jednak wzmocnienia o wartości 50 razy wyglądają dziecinnie przy nowej metodzie wzmacniania ataku DDoS.

Na czym polega nowa metoda wzmocnienia ataku DDoS?


Wykorzystano protokół Memcached. Z jego pomocą wykorzystuje się bufor pamięci podręcznej serwera, aby przyspieszyć odczytywanie danych z baz danych. Z metody tej korzysta tysiące serwisów na całym świecie, włączając w to Facebooka, Twitter czy Wikipedię.

Wdrożenia protokołu Memcached implementowane są najczęściej w zaufanych sieciach, gdzie klienci, bez dodatkowego uwierzytelniania, łączą się z dowolnym serwerem.

Do komunikacji wykorzystywane są m.in. pakiety UDP na porcie 11211. Współczynnik wzmocnienia ataku w przypadku Memcached waha się od 10000 razy do nawet 52000 razy. Dzięki temu stosunkowo prosto i tanio można wygenerować ruch na poziomie 500 Gbps.

Co musi zrobić atakujący?


Wystarczy, że przeskanuje zasoby internetu w poszukiwaniu podatnych na tę metodę serwerów z Memcached. Stworzona lista podatnych serwerów dodawana jest do skryptu, który wysyła sfałszowane żądania na port UDP 11211 (podstawiając jako pytającego adres IP ofiary). W efekcie na adres IP ofiary spływać zaczynają pakiety UDP w ilości dziesiątki tysięcy razy większej, niż wynosiło sfałszowane zapytanie.

Oczywiście nowa metoda wzmacniania ataków DDoS natychmiast trafiła do portfolio wielu „serwisów usługowych”, gdzie za bardzo niską opłatę można taki atak DDoS zamówić, wskazując adres IP ofiary. Ceny zaczynają się od 10 USD.

Komu już się oberwało?



  • 1 marca 2018 r. firma Akamai, chroniąca GitHub, zarejestrowała atak na ten serwis o wielkości 1.3 Tbps. Atak wykorzystywał opisaną wyżej metodę.
  • 5 marca jeden z operatorów ISP zarejestrował tego typu atak DDoS na poziomie 1.7 Tbps.

Nie brak także doniesień o zarejestrowaniu nowego typu „aktywności UDP” na takich platformach jak: Amazon, Google, QQ.com, 360.com, Pinterest, a nawet PornHub.

Jak uchronić swój serwer z Memcached?


Co zrobić, aby nasz serwer nie był wykorzystywany do ataków z użyciem protokołu Memcached?

Najprościej jest zaktualizować do najnowszej wersji Memcached (na ten moment jest to 1.5.6). Nowa wersja Memcached domyślnie wyłącza komunikację z wykorzystaniem UDP.

Alternatywą jest włączenie opcjonalnego uwierzytelniania SAML (z ang. Security Assertion Markup Language).

Trzecim sposobem jest stworzenie filtrów na firewallu, który zablokuje aktywność UDP na wskazanym porcie.

Czwarty sposób to aktywowanie usługi ochrony przed wykorzystaniem serwerów do generowania ataku DDoS. Wtedy usługodawca usługi anty DDoS odfiltruje wszystkie pakiety UDP, które wygenerowane zostały w celu wykorzystania podatności serwerów z Memcached.

W ten sposób uniknąć można wykorzystania własnej infrastruktury (serwerów, pasma) do atakowania jakiejś ofiary w sieci. Warto chronić się nie tylko przed atakami, ale także przed tym, aby samemu nie stanowić źródła ataku DDoS.

Krzysztof Surgut
Krzysztof Surgut krzysztof.surgut@dataspace.pl Przez ostatnie 15 lat współrealizował zaawansowane, ogólnopolskie projekty telekomunikacyjne i informatyczne (m.in. w Dialog, HAWE). Ekspert z zakresu systemów transmisji danych, VoIP, IPTV, systemów bezpieczeństwa oraz systemów radiowych. Współtwórca pierwszego w Polsce Scrubbing Center.
Case study
Chmura prywatna dla agencji Plej - case study
Infrastruktura IT
Chłodzenie w Centrum Danych