default)
Новичок
- Статус
- offline
- Регистрация
- 14.04.2017
- Сообщения
- 7
- Репутация
- 8
И так рассмотрим что же это за уязвимость и с чем её едят
Исследователи из Cloudflare столкнулись с волной DDoS-атак, проводимых через заражённые серверы Memcached — утилиты кэширования данных на основе хеш-таблиц. Масштабную кампанию удалось развернуть из-за того, что разработчики некорректно внедрили поддержку протокола UDP в своем продукте.
Этот тип атак основан на технологии отражающей DDoS. Такая стратегия эффективна, так как размеры ответных пакетов превышают размеры запросов. Это даёт злоумышленникам с небольшим объёмом ресурсов возможность проводить мощные DDoS-кампании.
Как это работает?
Используя IP-адрес жертвы, хакеры отправляют поддельные запросы на уязвимый UDP-сервер. Не зная о фальсификации, сервер готовит ответ. Внедрение UDP в конфигурации по умолчанию позволяет не защищенному брандмауэром серверу отправлять целевому хосту тысячи ответов, выводя из строя сеть жертвы.
По словам Cloudflare, самая крупная из зафиксированных DDoS-атак на основе Memcached достигла 260 гигабайт в секунду (GBPS) и 23 миллионов пакетов в секунду (PPS).
Уязвимые серверы распределены по всему миру, однако наибольшая концентрация атак отмечается в Северной Америке и Европе.
Исследователи просят разработчиков не использовать UDP или (при отсутствии такой возможности) отключать его по умолчанию. Сетевым администраторам следует в обязательном порядке проверить, защищены ли серверы межсетевым экраном. Пользователям Memcached настоятельно рекомендуется деактивировать порт UDP командами --listen 127.0.0.1 (прослушивание только локального порта) или -U 0 (полное отключение UDP)
Эксплоиты
Я нашел только один нормальный скрипт для организации DDoS-атак.
1 Утилита — это написанный на Python скрипт Memcacrashed.py, который сканирует Shodan в поисках уязвимых Memcached-серверов. Скрипт позволяет пользователю сразу же использовать полученные IP-адреса для усиления атаки. Атака ведется на udp порт 11211 вот как это выглядит в tcpdump
Способ еще работает :) за дополнительной информацией вдруг кто что не понял могу разъяснить
Исследователи из Cloudflare столкнулись с волной DDoS-атак, проводимых через заражённые серверы Memcached — утилиты кэширования данных на основе хеш-таблиц. Масштабную кампанию удалось развернуть из-за того, что разработчики некорректно внедрили поддержку протокола UDP в своем продукте.
Этот тип атак основан на технологии отражающей DDoS. Такая стратегия эффективна, так как размеры ответных пакетов превышают размеры запросов. Это даёт злоумышленникам с небольшим объёмом ресурсов возможность проводить мощные DDoS-кампании.
Как это работает?
Используя IP-адрес жертвы, хакеры отправляют поддельные запросы на уязвимый UDP-сервер. Не зная о фальсификации, сервер готовит ответ. Внедрение UDP в конфигурации по умолчанию позволяет не защищенному брандмауэром серверу отправлять целевому хосту тысячи ответов, выводя из строя сеть жертвы.
![spoofing-1.jpg](https://cdn.tproger.ru/wp-content/uploads/2018/02/spoofing-1.jpg)
По словам Cloudflare, самая крупная из зафиксированных DDoS-атак на основе Memcached достигла 260 гигабайт в секунду (GBPS) и 23 миллионов пакетов в секунду (PPS).
Уязвимые серверы распределены по всему миру, однако наибольшая концентрация атак отмечается в Северной Америке и Европе.
![memcached-map.jpg](https://cdn.tproger.ru/wp-content/uploads/2018/02/memcached-map.jpg)
Исследователи просят разработчиков не использовать UDP или (при отсутствии такой возможности) отключать его по умолчанию. Сетевым администраторам следует в обязательном порядке проверить, защищены ли серверы межсетевым экраном. Пользователям Memcached настоятельно рекомендуется деактивировать порт UDP командами --listen 127.0.0.1 (прослушивание только локального порта) или -U 0 (полное отключение UDP)
![Memcached-1040x585.jpg](https://xakep-ru.cdn.ampproject.org/i/s/xakep.ru/wp-content/uploads/2018/03/159381/Memcached-1040x585.jpg)
Эксплоиты
Я нашел только один нормальный скрипт для организации DDoS-атак.
1 Утилита — это написанный на Python скрипт Memcacrashed.py, который сканирует Shodan в поисках уязвимых Memcached-серверов. Скрипт позволяет пользователю сразу же использовать полученные IP-адреса для усиления атаки. Атака ведется на udp порт 11211 вот как это выглядит в tcpdump
HTML:
$ tcpdump -n -t -r memcrashed.pcap udp and port 11211 -c 10
IP 87.98.205.10.11211 > 104.28.1.1.1635: UDP, length 13
IP 87.98.244.20.11211 > 104.28.1.1.41281: UDP, length 1400
IP 87.98.244.20.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 188.138.125.254.11211 > 104.28.1.1.41281: UDP, length 1400
IP 5.196.85.159.11211 > 104.28.1.1.1635: UDP, length 1400
IP 46.31.44.199.11211 > 104.28.1.1.6358: UDP, length 13
![Memcached-PoC.png](https://xakep.ru/wp-content/uploads/2018/03/159381/Memcached-PoC.png#26759185)
Способ еще работает :) за дополнительной информацией вдруг кто что не понял могу разъяснить