DDoS Memcached là cuộc tấn công mạng mà kẻ xấu cố gắng cố gắng làm quá tải tài nguyên của hệ thống. Kẻ tấn công thông qua hệ thống máy chủ botnet sẽ gửi 1 lượng lớn request giả mạo tới các máy chủ chạy dịch vụ memcached có lỗ hổng có port 11211, thông qua giao thức UDP. Điều này dẫn tới máy chủ hệ thống bị cạn kiệt tài nguyên mạng, các client không thể kết nối tới được, hậu quả là dẫn tới Denial of Service (từ chối dịch vụ)
1. Tấn công memcached diễn ra như thế nào?
Giống như các cuộc tấn công khuếch đại DDoS Amplification khác như NTP amplification, DNS amplification. Kẻ tấn công gửi các gói tin giả mạo (spoofed IP) tới các máy chủ chạy memcaced bị dính lổ hổng, sau đó các máy chủ này sẽ gửi phản hồi hàng loạt với lượng traffic lớn hơn rất nhiều tới máy của nạn nhân.
Một nguyên nhân khác làm cho memcached dễ trở thành đối tượng bị lợi dụng là do giao thức memcached này sử dụng UDP protocol để truyền data. UDP là 1 giao thức không cần chứng thực người gửi – người nhận và từ đó 2 bên sẽ thực hiện trao đổi thông tin. UDP cho phép truyền liên tục, hàng loạt data và không cần bất kỳ sự cho phép nào.
Như hình là 1 máy chủ chạy memcached đang public port 11211 UDP và cho phép bất kỳ máy tính bên ngoài nào đều được phép kết nối tới dịch vụ.
2. Giải pháp khắc phục lỗ hổng Memcached
Để tránh bị kẻ xấu lợi dụng. Các nhà quản trị nên cập nhật bảo mật cho máy chủ memcached của mình: chỉ lắng nghe dịch vụ từ localhost và tắt giao thức UDP.
Chính sửa cấu hình Memcached:
[root@localhost ~]# vi /etc/sysconfig/memcached
Chỉnh sửa dòng OPTIONS thành OPTIONS=”-l 127.0.0.1 -U 0”, nghĩa là:
-l 127.0.0.1: chỉ cho phép truy vấn từ localhost
-U 0: tắt hoàn toàn truyền tải memcached với giao thức UDP.
Sau khi đã cấu hình, thực hiện restart lại dịch vụ:
[root@localhost ~]# systemctl restart memcached
Kiểm tra lại thì lúc này memcached đã chạy bằng giao thức TCP và chỉ listen từ localhost
Nếu hệ thống không thể chuyển sang TCP thì cần dựng tường lửa ngay trên server và filter traffic UDP có source port 11211 đi ra bên ngoài nhầm tránh bị lợi dụng làm nguồn phát tán DDoS.
Bên cạnh đó không thể chặn hoàn toàn việc giả mạo IP, do vậy cần thiết có thể liên hệ các ISP để nhờ lọc, chặn hoàn toàn traffic có địa chỉ nguồn giả mạo gửi từ bên ngoài vào server, kết hợp với các giải pháp ẩn IP, filter proxy DDoS để khắc phục vấn đề.
Chúc bạn thực hiện thành công!
THAM KHẢO CÁC DỊCH VỤ TẠI VINAHOST
>> SERVER – COLOCATION – Dịch vụ CDN
>> Cho thuê Cloud Server – VPS
>> HOSTING
>> WEBSITE
>> TÊN MIỀN
