Memcrashed – El mayor ataque ddos conocido

Memcrashed – El mayor ataque ddos conocido.

Los ataques de denegación de Servicio Distribuido (DDoS) cada vez son mayores, incluso llegamos al punto que los grandes datacenters ya toman medidas preventivas.

Ahora nos sorprende un nuevo método de ataque, un ataque brutal aprovechando el puerto 11211 de Memcached al cual se le conoce con el nombre de Memcrashed. Peligroso donde los haya nos puede generar en segundos más de un terabyte de tráfico.

Memcached es un sistema de alto rendimiento de caché de objetos opensource. Aunque sus posibilidades son grandes, se suele utilizar  para almacenar en caché los datos de sesión del servidor web de manera que se acelera considerablemente la navegación por el sitio, y ahí es donde comienza el problema.

 

Con demasiada frecuencia, los administradores de sistemas han expuesto servidores habilitados para Memcached en internet.

Memcached jamas debe estar disponible en una red pública. No tiene autentificación… por tanto su acceso y abuso es bastante simple.

Cuando un atacante localiza un memcached vulnerable puede usarlo para lanzar un ataque basado en DDoS UDP.

¿Y eso que es?, tranquilo yo te lo explico

Cuando un servidor recibe una solicitud de obtención desde memcached, el mismo recopila los valores solicitados de la memoria para crear la respuesta. Entonces envía a través de internet en una secuencia ininterrumpida de múltiples paquetes UDP, cada paquete puede tener una longitud máxima de 1.400 bytes.

 

 

Sigue leyendo que esto es serio…

Un atacante puede insertar sus propias cadenas en un servidor memcached que este abierto. Por defecto, memcached usa un límite de 1MB por valor almacenado, pero ojo… como cualquier usuario puede configurarlo es posible modificar esos valores. Ademas como no necesita autentificación, es posible y admisible solicitar claves múltiples o duplicadas desde una única solicitud con todo lo que ello supone.

Para que lo entiendas mejor, el atacante puede cargar grandes valores en el almacén de datos y luego usarlos en ataques. Por lo tanto, incluso con un solo valor almacenado de megabytes, el atacante usa una solicitud de paquetes UDP falsos y pedir que se envíe cientos de veces por solicitud a través del puerto UDP 11211.

Aunque no definitiva, una solución provisional es aplicar un valor al registro “-l”, agregar una ip de uso que normalmente es 127.0.0.1 o localhost.

Si revisas un articulo anterior, podrás observar que ya aplicamos en la configuración una ip de uso correcta.

Revisa la configuración de tu Memcached y evita el Memcrashed.

 

Memcrashed – El mayor ataque ddos conocido
4.7 (93.33%) 3 Votos

Agregar comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.