Memcrashed: ใช้ Memcached Server ปั๊มทราฟฟิก DDoS 51,000 เท่า!!

Cloudflare, Arbor Networks และ Qihoo 360 ออกมาแจ้งเตือนถึงปัญหาบน Memcached Server ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Amplification DDoS Attack โดยปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้มากกว่า 51,000 เท่า เว็บไซต์และโครงข่ายพื้นฐานของทุกองค์กรทั่วโลกอาจถูกโจมตีร่วงได้ในพริบตา

Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยม ซึ่งติดตั้งใช้งานได้ง่าย ถูกออกแบบมาสำหรับเพิ่มความเร็วในการเข้าถึงเว็บแอปพลิเคชันแบบ Dynamic โดยลดภาระงานของฐานข้อมูลง ช่วยให้ผู้ดูแลระบบสามารถเพิ่มประสิทธิภาพและขยายระบบเว็บแอปพลิเคชันได้ง่ายยิ่งขึ้น Memcached ถูกใช้อย่างแพร่หลายในโลกออนไลน์ ไม่ว่าจะเป็น Facebook, Flickr, Twitter, Reddit, YouTube และ Github

Cloudflare เรียกการโจมตีที่ใช้ Memcached เพื่อปั๊มทราฟฟิกนี้ว่า “Memcrashed” โดยแฮ็กเกอร์จะพุ่งเป้า Memcached Server ที่เปิดใช้พอร์ต UDP 11211 โดยไม่มีมาตรการป้องกัน มาใช้โจมตีแบบ Amplification DDoS Attack ซึ่งสามารถขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request ได้ถึง 51,200 เท่า เรียกได้ว่ามีอัตราการขยายสูงสุดเท่าที่เคยค้นพบในประวัติศาสตร์ DDoS (DNS และ NTP มีอัตราการขยายประมาณ 50 และ 58 เท่าตามลำดับ) ก่อให้เกิดทราฟฟิกขนาดสูงสุดถึง 260 Gbps

“15 bytes ขอ Request ที่ส่งมาก่อให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตีที่มี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติจริง เราพบว่า Request ขนาด 15 bytes ก่อให้เกิด Response ขนาดใหญ่ถึง 750 KB (ขยายถึง 51,200x)” — Cloudflare ระบุ

จากการตรวจสอบพบว่า Memcached Server ที่ถูกนำมาใช้โจมตีแบบ Amplification DDoS Attack นี้มีประมาณ 5,729 หมายเลข IP ถูกโฮสต์โดย OVH, Digital Ocean, Sakura และ Hosting Provider ขนาดเล็กอีกหลายแห่ง อย่างไรก็ตาม เป็นไปได้ที่จะเห็นการโจมตีขนาดใหญ่กว่านี้ในอนาคต เนื่องจากมี Memcached Server ออนไลน์อยู่มากถึงเกือบ 88,000 เครื่องในปัจจุบัน (ข้อมูลจาก Shodan)

สำหรับวิธีการป้องกัน Memcached Server ไม่ให้ตกเป็นเหยื่อของการถูกใช้ DDoS นั้น หนึ่งในวิธีที่ง่ายที่สุดทำได้โดยตั้งค่า Firewall ให้บล็อกหรือทำ Rate Limit บน UDP 11211 หรือปิดพอร์ต UDP 11211 ไปเลยในกรณีที่ไม่ได้ใช้งาน

ที่มาและเครดิตรูปภาพ: https://thehackernews.com/2018/02/memcached-amplification-ddos.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปงาน Veritas Tech Symposium 2019 : บริหารจัดการความซับซ้อนของข้อมูลด้วย Veritas Enterprise Data Service Platform (A P I)

การก้าวกระโดดของเทคโนโลยีถือเป็นเรื่องดีกับโลก เพียงแต่สิ่งเบื้องหลังที่อยู่เบื้องหลังและเป็นภาระขององค์กรตามมาก็คือทำอย่างไรจึงจะสามารถจัดการข้อมูลที่เกิดขึ้นด้วยเทคโนโลยีจำนวนมากและซับซ้อนเหล่านั้นได้อย่างมีประสิทธิภาพ ทั้งในแง่ของการปกป้องข้อมูลสำคัญให้รอดพ้นจากภัยคุกคามหรือในภาวะภัยพิบัติ รวมถึงกฏหมายคุ้มครองความเป็นส่วนตัวที่ถือกำเนิดขึ้น เช่น GDPR หรือ PDPA ของไทยเอง ด้วยเหตุนี้เอง Veritas จึงจัดงานใหญ่ประจำปีขึ้นภายใต้ชื่อ “Veritas Tech Symposium …

นักวิจัยเผยการโจมตีใหม่ส่งผลกระทบกับ Intel CPU ‘Plundervolt Attack’

กลุ่มนักวิจัยจาก 3 มหาวิทยาลัยในยุโรปได้ร่วมกันศึกษาและเผยแพร่วิธีการโจมตีใหม่ที่ส่งผลกระทบกับ Integrity ของ Intel SGX ที่ชื่อว่า ‘Plundervolt’