/ március 6, 2018/ biztonság, linux/ 0 comments

Az erősítéses támadások hátterében  általában mindig ugyanaz áll. Egy támadó, aki meghamisítja az IP címét, hamis kéréseket küld egy sérülékeny UDP kiszolgálónak. A kiszolgáló készségesen teljesíti a válaszokat. Ha ezek a kérések több ezres számban érkeznek, a kiszolgáló felhasználja a teljes erőforrását, beleértve a hálózatot is.

Az erősítéses támadások azért hatékonyak, mert gyakran a válaszcsomag sokkal nagyobb, mint a kéréscsomag. Így egy 1Gbps sebességű kapcsolattal néha eltömíthetünk 100Gbps sebességű kapcsolatot.

A memchached elleni támadás is sajnos ilyen. Itt egy példa:

$ tcpdump -n -t -r memcrashed.pcap udp and port 11211 -c 10
IP 87.98.205.10.11211 > 104.28.1.1.1635: UDP, length 13
IP 87.98.244.20.11211 > 104.28.1.1.41281: UDP, length 1400

260Gbps a bejövő UDP memcached forgalom, 1400 bájt a csomagméret, azaz 23Mpps x 1400 bájt = 257Gbps sávszélesség.

A memcached UDP-t használ és kb. semmit sem ellenőriz közben. Tehát a kulcs az, hogy a kérés kevés erőforrást használ, a válasz pedig nagyot.

Itt egy példa a támadásra:

$ sudo tcpdump -ni eth0 port 11211 -t
IP 172.16.170.135.39396 > 192.168.2.1.11211: UDP, length 15
IP 192.168.2.1.11211 > 172.16.170.135.39396: UDP, length 1400
IP 192.168.2.1.11211 > 172.16.170.135.39396: UDP, length 1400
...(százszor megismételve)...

Egy 15 bájtos kérés lett elküldve, ami 134 KB választ eredményezett. Ez 10ezerszer nagyobb. A gyakorlatban olyan is előfordult már, hogy 51200 szoros volt az erősítés.

Sérülékeny memcached szerverek mindenfele vannak.

Hogyna lehet védekezni?

ha nem használjuk az UDP-t, akkor kapcsoljuk ki:

–listen 127.0.0.1 -U 0

A következő paranccsal letesztelhetjük, hogy sebezhető-e a szerverünk:

$ echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 127.0.0.1 11211
STAT pid 21357
STAT uptime 41557034
STAT time 1519734962
...

Ha nem üres sorokat látunk, akkor igen.

Tűzfal

Ne engedjük át a tűzfalon az UDP csomagokat.

Internet szolgáltatók

A szolgáltatók segítsége nélkül nem lehet felderíteni, hogy ki követte el a támadásokat, tehát az ő együttműködésük szükséges.

Fejlesztők

Próbáljuk mellőzni az UDP portok használatát, vagy legalább ne legyen alapértelmezetten bekapcsolva.

Forrás: https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/

Leave a Comment