DDoS-angreb er baseret på memcached servere kan nu afbødes, siger forskerne. Den afbødning metode omfatter offeret sende en “flush_all” kommando tilbage til de servere, der indledte angrebet. Denne metode blev foreslået nogle dage siden af en af de memcached server udviklere.
Men, ingen rigtig opmærksom på det, indtil det øjeblik, hvor et selskab, Corero, sagde, at det integrerede denne teknik ... og det virkede.
Dette er den oprindelige spids givet af Memcached udvikler dormando:
For hvad det er værd, Hvis du får angrebet af memcached s, det er ret nemt at deaktivere dem, da kilden ikke vil blive snydt. De kan acceptere “shutdown r n”, men også at køre “flush_all r n” i en løkke vil forhindre amplifikation.
Corero sikkerhedseksperter siger, at metoden er 100 procent effektiv under en live angreb, og at de ikke har observeret nogen sikkerhed skade.
DDoS angreb Happening via Memcached servere Fejl
Som allerede skrev, bare i sidste uge et rekordstort DDoS-angreb fandt sted - registreret på 1.3 Tbps. Målet var GitHub, med angrebet er baseret på en fejl i memcached servere, som blev offentliggjort for nylig. Det blev klart, at cyberkriminelle kan udnytte memcached servere til at udføre store DDoS-angreb, der ikke kræver en masse it-ressourcer, ifølge forskerne.
Få flere dage gået, og en anden rekord, storstilet DDoS fandt sted - et angreb på 1.7 Tbps der blev påvist ved NetScout Arbor. Angrebet målrettet en kunde hos en amerikansk baserede tjenesteudbyder. Ikke overraskende, DDoS var baseret på den samme memcached refleksion / amplifikationsmetode kendt fra angrebet på GitHub.
Det er nu kendt, at virksomheder, der ikke har indsat specialiserede DDoS afbødning tjenester kan implementere scripts, der integrerer følgende kommandoer – “lukke ned” og “flush_all”, som anbefalet af Memcached udvikleren. Disse to kommandoer tjener til at lukke angribe servere, og rydde enhver cache med ondsindede pakker der er skyld i forstærkning effekt af disse seneste DDoS-angreb.
Den gode nyhed er, at Memcached v1.5.6 er fastsættelse dette problem, der fører til DDoS-angreb. Angrebene kan ske, fordi serverne var tilgængelig online. Deres standardkonfiguration udsat port11211 udnyttes af angribere at forstærke DDoS-angreb.
Den Memcached hold i øjeblikket dette spørgsmål identificeret som CVE-2018-1000115.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: