2018/02/28

Ataques DDoS amplificados via memcached podem atingir proporções nunca antes vistas


Os ataques DDoS (Distributed Denial of Service) consistem em inundar o endereço alvo com uma quantidade imensa de pedidos que impossibilitem o seu funcionamento normal, e agora há uma nova técnica que facilita a vida aos atacantes e que poderá permitir lançar os maiores e mais devastadores ataques DDoS até à data.

Para simplificar, podemos equiparar um ataque DoS a alguém que esteja continuamente a telefonar para o número de telefone da vítima, de modo a que ela não consiga fazer mais nada, mesmo que esteja continuamente a cancelar a chamada. Isso é o método mais simples, mas que deixa de fazer sentido caso a pessoa / empresa tenha mais que uma linha telefónica. Então sobe-se a parada para os DDoS, estes ataques distribuídos recorrem a máquinas infectadas para também participarem no ataque. Desta forma, em vez de uma única pessoa a "telefonar", teremos centenas ou centenas de milhares de máquinas (dependendo da dimensão da botnet) a fazer o mesmo, com consequências bastante mais complicadas de enfrentar.

Mas as coisas não se ficam por aqui. Quem se dedica a este tipo de ataques tem encontrado outras formas de aumentar ainda mais o número de pedidos a fazer à vítima, usando técnicas de "amplificação". Para isso usam pacotes de dados enviados para serviços e servidores legítimos... mas que são criados com um endereço de resposta falsificado, a apontar para a vítima. Por exemplo, podem contactar um servidor que retorne a hora e data actual, mas com esses dados a serem enviados para a vítima e contribuindo para ainda mais dados a saturarem a sua ligação e capacidade de processamento.

Obviamente que neste "jogo", o que interessa é encontrar serviços que produzam uma resposta com a maior quantidade de dados possível a partir de um pedido com o mínimo de dados possíveis, sendo que algumas das técnicas mais conhecidas, usando servidores DNS ou NTP, permitem amplificar o volume do ataque 50 vezes.

... Mas agora, este novo método que usa o memcached, permite ampliar os ataques DDoS 51 mil vezes!


O memcached é um popular serviço de cache utilizado para acelerar o acesso a bases de dados (e não só), mas que se não estiver configurado devidamente - disponível para a toda a internet e permitir pedidos via UDP, com os endereços falsificados - poderá ser utilizado por atacantes para efectuar esta amplificação de ataques DDoS a uma escala nunca antes vista. Considerando que há mais de 80 mil destes servidores disponíveis actualmente, facilmente um atacante poderá amplificar os seus ataques umas centenas de milhares de vezes, mesmo assumindo valores conservadores - como por exemplo, 10 mil memcached cada um a amplificar o ataque 25 vezes...

Suspeito que as próximas se tornem complicadas para quem tiver que lidar com este tipo de problemas; e que, indirectamente ou directamente, poderão afectar muitos milhões de utilizadores pela internet fora.

Actualização: já começaram os ataques. O GitHub a enfrentou o maior ataque DDoS (1.35Tb) até à data.

4 comentários:

  1. Neste caso o problema não esta do lado da vitima mas do lado dos servidores... Então o servidor (Firewall) vai dar uma resposta de DNS, NTP e etc a quem não fez a pergunta?

    ResponderEliminar
    Respostas
    1. Podes manipular os pacotes de dados de forma a que isso aconteça, sim. Do lado do servidor será praticamente "impossível" detectar que o pacote não é legítimo.

      Eliminar
  2. Olá, penso haver ali uma pequenita gafe (autocorrect?) "Para simplificar, podemos equipar(ar) um ataque DoS.. " :)

    ResponderEliminar

[pub]