Мой кабинет

Злоумышленники используют протокол memcached для усиления DDoS-атак

Делавэр, США – 1 марта 2018 года – Исследователи из Cloudflare сообщили, что в последнее время злоумышленники начали использовать протокол memcached для массированных DDoS-атак. Эксплуатация распространенных серверов memcached позволяет усилить атаку в более чем 50 000 раз. Отправляя запрос из 15 байт на уязвимый сервер на UDP-порт 11211, злоумышленники инициируют отправку пакета размером до 750кб на атакованный сервер. Не смотря на то, что в последних атаках было задействовано не слишком много IP-адресов, атаки достигали мощности 260Gbps. Пока что в зафиксированных атаках принимало участие менее 6000 уязвимых серверов memcached, однако согласно Shodan таких серверов около 88000, и в будущем мы можем столкнуться с куда более мощными атаками. Большая часть уязвимых серверов расположена в США и Китае.

Если в вашей организации используются серверы memcached, убедитесь, что они защищены межсетевым экраном и к ним невозможно получить доступ через UDP. Для обнаружения начала DDoS-атаки вы можете воспользоваться кейсом Netflow Security Monitor, который позволяет вашей SIEM контролировать потоки данных и уведомляет администратора о любых отклонениях от нормы.

Related Posts