Memcrashed: ใช้ Memcached Server ปั๊มทราฟฟิก DDoS 51,000 เท่า!!

Cloudflare, Arbor Networks และ Qihoo 360 ออกมาแจ้งเตือนถึงปัญหาบน Memcached Server ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Amplification DDoS Attack โดยปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้มากกว่า 51,000 เท่า เว็บไซต์และโครงข่ายพื้นฐานของทุกองค์กรทั่วโลกอาจถูกโจมตีร่วงได้ในพริบตา

Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยม ซึ่งติดตั้งใช้งานได้ง่าย ถูกออกแบบมาสำหรับเพิ่มความเร็วในการเข้าถึงเว็บแอปพลิเคชันแบบ Dynamic โดยลดภาระงานของฐานข้อมูลง ช่วยให้ผู้ดูแลระบบสามารถเพิ่มประสิทธิภาพและขยายระบบเว็บแอปพลิเคชันได้ง่ายยิ่งขึ้น Memcached ถูกใช้อย่างแพร่หลายในโลกออนไลน์ ไม่ว่าจะเป็น Facebook, Flickr, Twitter, Reddit, YouTube และ Github

Cloudflare เรียกการโจมตีที่ใช้ Memcached เพื่อปั๊มทราฟฟิกนี้ว่า “Memcrashed” โดยแฮ็กเกอร์จะพุ่งเป้า Memcached Server ที่เปิดใช้พอร์ต UDP 11211 โดยไม่มีมาตรการป้องกัน มาใช้โจมตีแบบ Amplification DDoS Attack ซึ่งสามารถขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request ได้ถึง 51,200 เท่า เรียกได้ว่ามีอัตราการขยายสูงสุดเท่าที่เคยค้นพบในประวัติศาสตร์ DDoS (DNS และ NTP มีอัตราการขยายประมาณ 50 และ 58 เท่าตามลำดับ) ก่อให้เกิดทราฟฟิกขนาดสูงสุดถึง 260 Gbps

“15 bytes ขอ Request ที่ส่งมาก่อให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตีที่มี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติจริง เราพบว่า Request ขนาด 15 bytes ก่อให้เกิด Response ขนาดใหญ่ถึง 750 KB (ขยายถึง 51,200x)” — Cloudflare ระบุ

จากการตรวจสอบพบว่า Memcached Server ที่ถูกนำมาใช้โจมตีแบบ Amplification DDoS Attack นี้มีประมาณ 5,729 หมายเลข IP ถูกโฮสต์โดย OVH, Digital Ocean, Sakura และ Hosting Provider ขนาดเล็กอีกหลายแห่ง อย่างไรก็ตาม เป็นไปได้ที่จะเห็นการโจมตีขนาดใหญ่กว่านี้ในอนาคต เนื่องจากมี Memcached Server ออนไลน์อยู่มากถึงเกือบ 88,000 เครื่องในปัจจุบัน (ข้อมูลจาก Shodan)

สำหรับวิธีการป้องกัน Memcached Server ไม่ให้ตกเป็นเหยื่อของการถูกใช้ DDoS นั้น หนึ่งในวิธีที่ง่ายที่สุดทำได้โดยตั้งค่า Firewall ให้บล็อกหรือทำ Rate Limit บน UDP 11211 หรือปิดพอร์ต UDP 11211 ไปเลยในกรณีที่ไม่ได้ใช้งาน

ที่มาและเครดิตรูปภาพ: https://thehackernews.com/2018/02/memcached-amplification-ddos.html

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Samsung ลั่น อุปสงค์ชิปหน่วยความจำจะดันกำไรจากการดำเนินงานพุ่ง 19 เท่า

รายงานผลประกอบการเบื้องต้นที่เผยแพร่โดย Samsung ระบุว่า ยอดขายและราคาของชิปหน่วยความจำที่ทำสถิติสูงสุดจะส่งผลให้กำไรจากการดำเนินงานในไตรมาสที่สองของ Samsung เพิ่มขึ้นถึง 19 เท่า

ยกระดับการทำงานและการเรียนรู้ ด้วย “ZTE Smart Conference” เทคโนโลยี AI อัจฉริยะ ที่ใครก็ใช้งานได้ง่ายๆ [Guest Post]

ในยุคที่การทำงานแบบ Hybrid และการเรียนรู้แบบผสมผสาน (Hybrid Learning) กลายเป็นเรื่องปกติ “ห้องประชุม” และ “ห้องเรียน” ไม่ได้มีไว้แค่สำหรับการรวมตัวกันอีกต่อไป แต่ต้องเป็นพื้นที่ที่เชื่อมโยงคนทั้งที่อยู่ในห้องและคนที่อยู่ห่างไกลให้รู้สึกเหมือนอยู่ด้วยกัน การมีระบบ Conference ที่มีประสิทธิภาพจึงเป็นสิ่งจำเป็น