Di dalam Serangan Amplifikasi DDoS Baru Vector melalui Memcached Server

Di dalam Serangan Amplifikasi DDoS Baru Vector melalui Memcached Server

Jakarta, 22 Apr 2018

Di dalam Serangan Amplifikasi DDoS Baru Vector melalui Memcached Server

3 MARET, 2018 oleh Johnathan Azaria dan Avishay Zawoznik

 

Kami baru-baru ini melihat vektor serangan amplifikasi DDoS baru melalui server memcache yang memuncak dalam dua serangan amplifikasi DDoS besar-besaran pada 28 Februari. Kedua serangan berhasil dimitigasi.

 

Begini cara kerja server memachached dan bagaimana serangan itu terjadi.

 

Memcached server

Kecuali diperbarui dalam dua hari terakhir, server memcache mendengarkan pada port UDP 11211 secara default. Ini dapat dieksploitasi untuk menghasilkan serangan amplifikasi DDoS dengan mengirim server memcached paket UDP dengan IP palsu berisi pesan yang meminta statistik, yang akan menyebabkan server mengembalikan pesan yang sangat besar kepada korban. Vektor amplifikasi DDoS yang dapat dieksploitasi memungkinkan penyerang untuk mengirimkan paket-paket besar dan / atau banyak paket untuk setiap paket kecil yang mereka kirim, tanpa perlu mengontrol botnet dari perangkat yang diretas. Serangan amplifikasi melalui server memcache menghasilkan faktor amplifikasi sebesar 9.000 X atau lebih. Sebagai perbandingan, NTP, vektor amplifikasi DDoS yang dikenal karena faktor amplifikasi yang tinggi biasanya mencapai faktor amplifikasi 557 X muatan asli.

 

Kredit: US-CERT, https://www.us-cert.gov/ncas/alerts/TA14-017A

 

Jumlah total server memcache secara global

Ada lebih dari 93.000 server memcache yang mendengarkan di port 11211 di seluruh dunia, memungkinkan penyerang untuk memilih dari berbagai server dan menghindari daftar hitam IP mereka.

 

Memcached server secara global, Gambar kredit: Shodan.io

 

Awal dari vektor serangan baru

Kami mulai melihat sejumlah serangan DDoS menggunakan metode ini dalam beberapa hari terakhir. Serangan pertama menghantam jaringan pada 21 Februari dengan serangan lain yang diluncurkan pada 26 Februari yang mencapai 190 Gbps dan 18Mpps dan berlangsung selama satu jam.

 

Serangan DDoS di Gbps melalui server memcache

 

Serangan DDoS di pps melalui server memcache

 

Pada 28 Februari kami melihat serangan berikut.

 

Serangan DDoS di pps melalui server memcache

 

Mendeteksi dan meredakan serangan terhadap server memcache

Meskipun serangan dapat dengan mudah dideteksi dengan menetapkan aturan tentang lalu lintas UDP yang berasal dari port sumber 11211, itu tidak dapat dikurangi tanpa solusi mitigasi DDoS yang berdedikasi karena sejumlah besar PPS dan BPS menyampaikan serangan seperti itu, yang kemungkinan akan berubah perangkat routing tepi tidak tersedia sebelum lalu lintas tiba di server, terlepas dari konfigurasinya.

 

Statistik UDP pada serangan DDoS melalui server memcache

 

Imperva Incapsula Pelanggan infrastruktur dilindungi terhadap semua serangan amplifikasi DDoS yang diketahui, dan untuk saat ini mereka dilindungi terhadap serangan khusus ini juga.

 

Sumber: https://www.incapsula.com/blog/inside-new-ddos-amplification-attack-vector-via-memcached-servers.html

Sumber Gambar: https://www.incapsula.com/blog/inside-new-ddos-amplification-attack-vector-via-memcached-servers.html

Other Articles

Copyright©2017 Blue Power Technology All Right Reserved.