Обнаружен новый эффективный метод усиления мощности DDoS-атак

image

Теги: DDoS-атака, memcached

За последние несколько дней стремительно растет число DDoS-атак, усиленных с помощью memcached UDP.

Исследователи компании Cloudflare зафиксировали стремительный рост числа DDoS-атак, для усиления мощности которых киберпреступники используют протокол memcached, исходящий из UDP-порта 11211.

Существует несколько методов усиления мощности DDoS-атак, но основная идея практически та же самая. Атакующий осуществляет IP-спуфинг и отправляет на уязвимый UDP-сервер поддельные запросы. Не зная, что запросы поддельные, сервер готовит ответ. Проблема возникает, когда сервер отправляет атакуемому хосту тысячи ответов, тем самым вызывая его отказ в обслуживании. Атаки с использованием методов усиления весьма эффективны, так как размеры ответных пакетов превышают размеры пакетов запросов. В итоге атакующий даже с незначительными ресурсами может осуществить мощную DDoS-атаку.

Исследователи регулярно фиксируют подобные атаки, однако новые, ранее неизвестные методы киберпреступники используют крайне редко. К таковым в частности относится атака Memcrashed, предполагающая усиление атаки с помощью memcached UDP. В последние дни число атак Memcrashed начало стремительно расти.

«Атаки не отличаются большим количеством пакетов в секунду, однако пропускная способность впечатляет. Мы зафиксировали пиковый показатель на уровне 260 Гб/с входящего UDP memcached трафика. Это очень много, как для вектора усиления. Однако цифры не лгут. Это возможно, поскольку отраженные пакеты очень большие. Размер большинства пакетов составляет 1400 байтов. Делаем простой подсчет: 23 млн пакетов в секунду умножаем на 1400 байтов и получаем 257 Гб/с», – сообщили исследователи.

Уязвимые серверы memcached находятся по всему миру с наибольшей концентрацией в Северной Америке и Европе.

IP-спуфинг – метод атаки, заключающийся в изменении поля «адрес отправителя» IP-пакета. Применяется для сокрытия истинного адреса атакующего, например, с целью вызвать ответный пакет на нужный адрес.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.