مجرمان سايبري به فكر سوءاستفاده گسترده از سرورهاي موسوم به Mencached افتاده‌اند كه 51000 بار قويتر از Ddos مي‌باشد و در نهایت منجر به از كار انداختن شبكه‌هاي مهم و زيرساخت‌هاي اينترنتي مي‌شود.


اين روزها دست اندركاران امنيتي Cloudflare,Arbor,Network و شركت چيني Qihoo متوجه شده‌اند كه هكرها از Memcached استفاده‌هاي نابجايي مي‌كنند تا حملات مربوط به Ddos را با استفاده از فاكتور بي‌نظير 51،100 گسترش دهند.

Mencached يك سيستم باز است كه به راحتي سيستم ذخيره‌اي را بكار مي‌گيرد وباعث مي‌شود كه موارد در حافظه ذخيره شوند و بگونه‌اي طراحي شده كه با بسياري از ارتباطات آزاد كاركند. سرور Mencached با مجراي D11211 يا TCP كار مي‌كند.

اپليكيشن Mencached براي پويايي با سرعت بالا شبكه طراحي شده است كه اين امر با كاهش مجراها در پايگاه‌داده همراه است و به مديران اجرايي كمك مي كند كه عملكرد را افزايش بدهند،كاربرد شبكه را مقياس گذاري نمايند. اين مورد استفاده گسترده هزاران شبكه از جمله Reddit,YouTube,Github,Face book,Flicker,Twiter مي باشد.

كپي Mencached توسط شركت C اي كه ظاهرا" از سرورهاي بدون محافظ Mencached سوء استفاده نموده است داراي قابليت UDP است و مي‌تواند به حملات DDos بيانجامد كه 51،200 بازقويتر از اورجينال آن مي‌باشد و آن را بعنوان يك روش تقويتي بسيار برجسته كه تابحال بطور معمول استفاده شده است بشمار مي‌آورد.






چگونه يك حمله تقويتي Memcached DDos عمل مي نمايد.
شبيه ديگر روشهاي تقويتي، زمانيكه هكرها درخواست‌هاي نا چيزي را از آدرس‌هاي هك شده مي‌فرستند تا جواب بهتر و بيشتري را دريافت نمايند، حمله تقويتي Mencached هم با فرستادن درخواست تغلبي (دروغين) به سرورهاي مورد هدف عمل مي‌نمايد(مثل سرور آسيب پذيرUDP)در روي مجراي 11211 از آدرس هك شده استفاده مي‌كند و با IP قرباني هماهنگ مي‌شود.

بنابر اظهارات محققين تنها چند بايت محدود از درخواست به طرف سرورهاي آسيب پذير فرستاده مي‌شوند و مي‌توانند بعنوان يك محرك جواب را تا ده هزار برابر بيشتر كند عمل مي‌نمايد. Cloudflare اظهار مي‌دارد كه 15 بايت درخواست مي‌تواند 134 كيلوبايت جواب را در بر داشته باشد. اين عامل تقويتي 10،000X مي باشد. در عمل ما شاهد درخواست 15 بايتي هستيم كه پاسخي 750 كيلوبايتي را در بر دارد.



بنابر اظهارات محققين بيشتر سرورهاي Mencached بخاطرحملات تقويتي DDos مورد سوءاستفاده قرار ميگيرند كه در OVH,Digital Ocean,Sakura وديگر اوپراتورهاي (ارائه دهندگان)كوچك ميزباني شده است.شركت Cloudflare مي‌گويد بطور كلي محققان شاهد 5729 منبع آدرس كامپيوتري شده‌اند كه مرتبط با سرورهاي آسيب پذير Mencached مي‌باشند.اما آنها انتظار دارند كه شاهد حملات سايبري بيشتري در آينده باشند همانطوريكه Shodan گزارش مي‌دهد 88000 سرور Mencached باز وجود دارند.

همچنين Cloudflare اظهار مي‌دارد كه در نقطه اوج، ما شاهد 260Gbps حدود مشخصي UDP ترافيك در Mencached مي‌باشيم.اين براي تقويت بردار جديد(حجيم،فشرده)مي‌باشد.ام ا آمار وارقام دروغ نمي‌گويند، اين امر ممكن است زيرا تمامي بسترهاي بازتابي بسيار حجيم و بزرگ مي‌باشند.

شبكه Arbor خاطرنشان مي‌كند جستجو و تحقيق اوليه كه در مورد اين حمله صورت پذيرفته نشان مي‌دهد كه مي‌توان آن را در مجراي TCP11211 در مورد سرورهاي Mencached كه مورد استفاده قرارگرفته‌اند بكار برد. اما TCPبر دادههاي تقويتي انعكاسي پر خطر Mencached را جدي نميگيرد زيرا تحقيقات و جستجوهاي TCP نمي‌تواند بطور قابل اعتمادي مورد هك(حقه) قرار بگيرند. معروفيتي كه به نام تقويت DDos شناخته شده است برداده‌هايي كه از سيستم امنيتي موسوم به DNS برخوردارند حمله كند كه ظرفيت ترافيكي را تا 58 بار افزايش مي‌دهد.


كاهش دادن: چگونه سرورهاي Mencached را تثبيت نمائيم؟
يكي از سادهترين روشها كه سرورهاي Mencachedرا در برابر سوء استفاده حفظ نمائيم استفاده از سيستمهاي UDP وFire wall محدود كننده در مجراي 11211 است.اززمانيكه Mencached در INADDRپذيرفته شده استوهمراه با تقويت UDP Mencached را ميكند از طريق پيش فرض توانا شده است، به مديران اجرايي پيشنهاد ميگردد كه تقويت UDP را بي اثر نمايند اگر از آن استفاده نميكنند.

ميزان حمله بصورت بالقوه از طريق انعكاس Mencached نميتواند به سادگي از طريق ISPs (ارائه دهندگان سرويس اينترنتي)تا زمانيكه هك IP از طريق اينترنت امكان پذير است محافظت شود.


https://www.cyberpolice.ir/news/121201