Memcrashed: ใช้ Memcached Server ปั๊มทราฟฟิก DDoS 51,000 เท่า!!

Cloudflare, Arbor Networks และ Qihoo 360 ออกมาแจ้งเตือนถึงปัญหาบน Memcached Server ซึ่งช่วยให้แฮ็กเกอร์สามารถโจมตีแบบ Amplification DDoS Attack โดยปั๊มทราฟฟิกให้มีขนาดใหญ่กว่าเดิมได้มากกว่า 51,000 เท่า เว็บไซต์และโครงข่ายพื้นฐานของทุกองค์กรทั่วโลกอาจถูกโจมตีร่วงได้ในพริบตา

Memcached เป็นระบบ Distributed Caching แบบ Open-source ยอดนิยม ซึ่งติดตั้งใช้งานได้ง่าย ถูกออกแบบมาสำหรับเพิ่มความเร็วในการเข้าถึงเว็บแอปพลิเคชันแบบ Dynamic โดยลดภาระงานของฐานข้อมูลง ช่วยให้ผู้ดูแลระบบสามารถเพิ่มประสิทธิภาพและขยายระบบเว็บแอปพลิเคชันได้ง่ายยิ่งขึ้น Memcached ถูกใช้อย่างแพร่หลายในโลกออนไลน์ ไม่ว่าจะเป็น Facebook, Flickr, Twitter, Reddit, YouTube และ Github

Cloudflare เรียกการโจมตีที่ใช้ Memcached เพื่อปั๊มทราฟฟิกนี้ว่า “Memcrashed” โดยแฮ็กเกอร์จะพุ่งเป้า Memcached Server ที่เปิดใช้พอร์ต UDP 11211 โดยไม่มีมาตรการป้องกัน มาใช้โจมตีแบบ Amplification DDoS Attack ซึ่งสามารถขยายทราฟฟิก Response ให้มีขนาดใหญ่กว่าทราฟฟิก Request ได้ถึง 51,200 เท่า เรียกได้ว่ามีอัตราการขยายสูงสุดเท่าที่เคยค้นพบในประวัติศาสตร์ DDoS (DNS และ NTP มีอัตราการขยายประมาณ 50 และ 58 เท่าตามลำดับ) ก่อให้เกิดทราฟฟิกขนาดสูงสุดถึง 260 Gbps

“15 bytes ขอ Request ที่ส่งมาก่อให้เกิด Response ขนาด 134 KB นี่เป็นการโจมตีที่มี Amplification Factor ระดับ 10,000x! ในทางปฏิบัติจริง เราพบว่า Request ขนาด 15 bytes ก่อให้เกิด Response ขนาดใหญ่ถึง 750 KB (ขยายถึง 51,200x)” — Cloudflare ระบุ

จากการตรวจสอบพบว่า Memcached Server ที่ถูกนำมาใช้โจมตีแบบ Amplification DDoS Attack นี้มีประมาณ 5,729 หมายเลข IP ถูกโฮสต์โดย OVH, Digital Ocean, Sakura และ Hosting Provider ขนาดเล็กอีกหลายแห่ง อย่างไรก็ตาม เป็นไปได้ที่จะเห็นการโจมตีขนาดใหญ่กว่านี้ในอนาคต เนื่องจากมี Memcached Server ออนไลน์อยู่มากถึงเกือบ 88,000 เครื่องในปัจจุบัน (ข้อมูลจาก Shodan)

สำหรับวิธีการป้องกัน Memcached Server ไม่ให้ตกเป็นเหยื่อของการถูกใช้ DDoS นั้น หนึ่งในวิธีที่ง่ายที่สุดทำได้โดยตั้งค่า Firewall ให้บล็อกหรือทำ Rate Limit บน UDP 11211 หรือปิดพอร์ต UDP 11211 ไปเลยในกรณีที่ไม่ได้ใช้งาน

ที่มาและเครดิตรูปภาพ: https://thehackernews.com/2018/02/memcached-amplification-ddos.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนแคมเปญ Phishing บริการ Office 365 หลอกมีอีเมลที่ไม่ถูกส่ง

ผู้เชี่ยวชาญได้ค้นพบความพยายามรอบใหม่ของคนร้ายที่หลอกเหยื่อด้วยการส่งข้อความแจ้งเตือนคล้ายกับว่ามาจาก Office 365 แจ้งว่ามีอีเมลไม่ถูกส่งออกเพื่อจงใจขโมย Credentials ของผู้ใช้งาน

ผลทดสอบพบแบบพิมพ์ 3 มิติสามารถผ่านระบบจดจำใบหน้าในโทรศัพท์หลายรุ่นได้

ผู้เชี่ยวชาญจาก Forbes ได้สร้างโมเดล 3 มิติขึ้นเพื่อทดสอบกับโทรศัพท์ที่เปิดใช้งานระบบจดจำใบหน้าเอาไว้ โดยเลือก Android มาทดสอบจำนวน 4 รุ่นมาเปรียบเทียบกับระบบป้องกันโทรศัพท์จากค่าย Apple ผลคือโทรศัพท์จากค่าย Android ทั้งหมดถูกหลอกได้จากแบบพิมพ์ 3 …