Ingram SUSE

Memcrashed: ใช้ Memcached Server ปั๊มทราฟฟิก DDoS 51,000 เท่า!!

Cloudflare, Arbor Networks และ Qihoo 360 ออกมาแจ้งเตือนถึงปัญหาบน Memcached Server ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Amplification DDoS Attack โดยปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้มากกว่า 51,000 เท่า เว็บไซต์และโครงข่ายพื้นฐานของทุกองค์กรทั่วโลกอาจถูกโจมตีร่วงได้ในพริบตา

Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยม ซึ่งติดตั้งใช้งานได้ง่าย ถูกออกแบบมาสำหรับเพิ่มความเร็วในการเข้าถึงเว็บแอปพลิเคชันแบบ Dynamic โดยลดภาระงานของฐานข้อมูลง ช่วยให้ผู้ดูแลระบบสามารถเพิ่มประสิทธิภาพและขยายระบบเว็บแอปพลิเคชันได้ง่ายยิ่งขึ้น Memcached ถูกใช้อย่างแพร่หลายในโลกออนไลน์ ไม่ว่าจะเป็น Facebook, Flickr, Twitter, Reddit, YouTube และ Github

Cloudflare เรียกการโจมตีที่ใช้ Memcached เพื่อปั๊มทราฟฟิกนี้ว่า “Memcrashed” โดยแฮ็กเกอร์จะพุ่งเป้า Memcached Server ที่เปิดใช้พอร์ต UDP 11211 โดยไม่มีมาตรการป้องกัน มาใช้โจมตีแบบ Amplification DDoS Attack ซึ่งสามารถขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request ได้ถึง 51,200 เท่า เรียกได้ว่ามีอัตราการขยายสูงสุดเท่าที่เคยค้นพบในประวัติศาสตร์ DDoS (DNS และ NTP มีอัตราการขยายประมาณ 50 และ 58 เท่าตามลำดับ) ก่อให้เกิดทราฟฟิกขนาดสูงสุดถึง 260 Gbps

“15 bytes ขอ Request ที่ส่งมาก่อให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตีที่มี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติจริง เราพบว่า Request ขนาด 15 bytes ก่อให้เกิด Response ขนาดใหญ่ถึง 750 KB (ขยายถึง 51,200x)” — Cloudflare ระบุ

จากการตรวจสอบพบว่า Memcached Server ที่ถูกนำมาใช้โจมตีแบบ Amplification DDoS Attack นี้มีประมาณ 5,729 หมายเลข IP ถูกโฮสต์โดย OVH, Digital Ocean, Sakura และ Hosting Provider ขนาดเล็กอีกหลายแห่ง อย่างไรก็ตาม เป็นไปได้ที่จะเห็นการโจมตีขนาดใหญ่กว่านี้ในอนาคต เนื่องจากมี Memcached Server ออนไลน์อยู่มากถึงเกือบ 88,000 เครื่องในปัจจุบัน (ข้อมูลจาก Shodan)

สำหรับวิธีการป้องกัน Memcached Server ไม่ให้ตกเป็นเหยื่อของการถูกใช้ DDoS นั้น หนึ่งในวิธีที่ง่ายที่สุดทำได้โดยตั้งค่า Firewall ให้บล็อกหรือทำ Rate Limit บน UDP 11211 หรือปิดพอร์ต UDP 11211 ไปเลยในกรณีที่ไม่ได้ใช้งาน

ที่มาและเครดิตรูปภาพ: https://thehackernews.com/2018/02/memcached-amplification-ddos.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] NIDA จับมือไอแอม คอนซัลติ้ง นำ HR Technology ต่อยอดสร้างความรู้บุคลากร ขับเคลื่อนสถาบัน

สถาบันบัณฑิตพัฒนบริหารศาสตร์ (NIDA) ร่วมกับบริษัท ไอแอม คอนซัลติ้ง จำกัด ลงนามความร่วมมือทางวิชาการ นำเอาองค์ความรู้และระบบเทคโนโลยีสารสนเทศ มุ่งเน้นการนำเอา HR Technology ช่วยขับเคลื่อนสู่การเป็นองค์กรดิจิทัล

[Guest Post] หัวเว่ยเปิดตัวสายผลิตภัณฑ์โซลูชันอินเทอร์เน็ตอัจฉริยะ ช่วยเสริมโครงสร้างพื้นฐาน ไอซีทีของมหาวิทยาลัยไทยและภาคองค์กรธุรกิจให้พร้อมรับมือทุกสถานการณ์

เมื่อเร็วๆ นี้ หัวเว่ยจัดงาน Huawei Asia Pacific IP Club Carnival 2021 ภายใต้หัวข้อ “พร้อมรับการเปลี่ยนแปลงด้วยเทคโนโลยีอินเทอร์เน็ตอัจฉริยะเพื่อขับเคลื่อนอนาคตใหม่ให้วงการ” พร้อมเผยว่าโซลูชันด้านการสื่อสารและส่งข้อมูลจะช่วยเร่งการเปลี่ยนผ่านสู่ยุคดิจิทัลในภาคอุตสาหกรรมต่าง ๆ และจะช่วยกลุ่มองค์กรธุรกิจรวมถึงสถาบันการศึกษาในประเทศไทยให้สามารถสร้างเทคโนโลยีดิจิทัลที่มีความยืดหยุ่น …