Breaking News

Memcrashed: ใช้ Memcached Server ปั๊มทราฟฟิก DDoS 51,000 เท่า!!

Cloudflare, Arbor Networks และ Qihoo 360 ออกมาแจ้งเตือนถึงปัญหาบน Memcached Server ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Amplification DDoS Attack โดยปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้มากกว่า 51,000 เท่า เว็บไซต์และโครงข่ายพื้นฐานของทุกองค์กรทั่วโลกอาจถูกโจมตีร่วงได้ในพริบตา

Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยม ซึ่งติดตั้งใช้งานได้ง่าย ถูกออกแบบมาสำหรับเพิ่มความเร็วในการเข้าถึงเว็บแอปพลิเคชันแบบ Dynamic โดยลดภาระงานของฐานข้อมูลง ช่วยให้ผู้ดูแลระบบสามารถเพิ่มประสิทธิภาพและขยายระบบเว็บแอปพลิเคชันได้ง่ายยิ่งขึ้น Memcached ถูกใช้อย่างแพร่หลายในโลกออนไลน์ ไม่ว่าจะเป็น Facebook, Flickr, Twitter, Reddit, YouTube และ Github

Cloudflare เรียกการโจมตีที่ใช้ Memcached เพื่อปั๊มทราฟฟิกนี้ว่า “Memcrashed” โดยแฮ็กเกอร์จะพุ่งเป้า Memcached Server ที่เปิดใช้พอร์ต UDP 11211 โดยไม่มีมาตรการป้องกัน มาใช้โจมตีแบบ Amplification DDoS Attack ซึ่งสามารถขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request ได้ถึง 51,200 เท่า เรียกได้ว่ามีอัตราการขยายสูงสุดเท่าที่เคยค้นพบในประวัติศาสตร์ DDoS (DNS และ NTP มีอัตราการขยายประมาณ 50 และ 58 เท่าตามลำดับ) ก่อให้เกิดทราฟฟิกขนาดสูงสุดถึง 260 Gbps

“15 bytes ขอ Request ที่ส่งมาก่อให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตีที่มี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติจริง เราพบว่า Request ขนาด 15 bytes ก่อให้เกิด Response ขนาดใหญ่ถึง 750 KB (ขยายถึง 51,200x)” — Cloudflare ระบุ

จากการตรวจสอบพบว่า Memcached Server ที่ถูกนำมาใช้โจมตีแบบ Amplification DDoS Attack นี้มีประมาณ 5,729 หมายเลข IP ถูกโฮสต์โดย OVH, Digital Ocean, Sakura และ Hosting Provider ขนาดเล็กอีกหลายแห่ง อย่างไรก็ตาม เป็นไปได้ที่จะเห็นการโจมตีขนาดใหญ่กว่านี้ในอนาคต เนื่องจากมี Memcached Server ออนไลน์อยู่มากถึงเกือบ 88,000 เครื่องในปัจจุบัน (ข้อมูลจาก Shodan)

สำหรับวิธีการป้องกัน Memcached Server ไม่ให้ตกเป็นเหยื่อของการถูกใช้ DDoS นั้น หนึ่งในวิธีที่ง่ายที่สุดทำได้โดยตั้งค่า Firewall ให้บล็อกหรือทำ Rate Limit บน UDP 11211 หรือปิดพอร์ต UDP 11211 ไปเลยในกรณีที่ไม่ได้ใช้งาน

ที่มาและเครดิตรูปภาพ: https://thehackernews.com/2018/02/memcached-amplification-ddos.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

24 เว็บไซต์ดังถูกแฮ็ก ข้อมูลผู้ใช้กว่า 834 ล้านรายชื่อถูกขายใน Dark Web

เว็บไซต์ The Hacker News ออกมาแจ้งเตือนถึงเหตุการณ์ Data Breach บนเว็บไซต์ชื่อดังรวม 24 เว็บไซต์ ส่งผลให้ข้อมูลส่วนบุคคลของผู้ใช้กว่า 834 ล้านรายชื่อถูกขายบน Dark Web …

เตือนภัยหน้า Facebook Login ปลอมหลอกขโมยรหัสผ่าน ใช้ HTML/Javascript ปลอมตัวเองให้เหมือนหน้าต่าง Browser

หน้า Phishing ปลอมตัวเองเป็น Facebook เพื่อหลอกขโมยชื่อผู้ใช้งานและรหัสผ่านนั้นเป็นแนวคิดที่เราพบเจอกันมานาน และหากตั้งใจสังเกตความผิดปกติในจุดต่างๆ นั้นก็พอจะสามารถหลบเลี่ยงจากการถูกหลอกได้ แต่ในครั้งนี้นักวิจัยด้าน Security ได้ค้นพบหน้า Facebook Login ปลอมแบบใหม่ที่สมจริงมากๆ ด้วยการใช้ HTML/Javascript มาปลอมตัวเองให้เหมือนเป็นหน้าต่างของ Browser ที่เราใช้งาน และแสดง URL แบบปลอมๆ เสมือนว่าเป็นเว็บจริง ทำให้ยากต่อการสังเกตและป้องกันตัวเองขึ้นไปอีก