En plus de sécuriser votre serveur Memcached, vous pouvez également utiliser un service de protection contre les attaques DDoS comme Akamai Prolexic pour protéger votre site Web contre les attaques DDoS.
Explication de l'attaque DDoS via Memcached
Ces dernières années, nous avons assisté à une augmentation significative du nombre et de la sophistication des attaques par déni de service distribué (DDoS). Pour amplifier leurs attaques, les hackers exploitent les vulnérabilités dans les serveurs Memcached. Dans cet article, nous allons expliquer le fonctionnement d'une attaque DDoS Memcached, pourquoi elle est si efficace et comment vous en protéger.
Qu'est-ce que Memcached ?
Memcached est un système Open Source et hautes performances de mise en cache de bases de données et de mémoire distribuée. La valeur clé est souvent utilisée pour accélérer les sites Web dynamiques et les applications Web en mettant en mémoire cache les données fréquemment utilisées. Memcached est largement utilisé par des entreprises comme Facebook, Twitter et YouTube. Memcached a également la prise en charge UDP et est un contributeur majeur au vecteur d'attaque.
Qu'est-ce qu'une attaque DDoS ?
Une attaque par déni de service distribué (DDoS) est un type de cyberattaque où un grand nombre de terminaux compromis (appelés botnet) inondent de trafic un site Web ou un serveur cible. Les pirates utilisent le volume de trafic qui submerge la cible, ce qui la rend inaccessible aux utilisateurs légitimes ou aux fonctions telles que l'authentification.
Qu'est-ce qu'une attaque DDoS Memcached ?
Les attaques Memcached sont un type d'attaque par amplification où un hacker envoie une requête HTTP GET à un serveur Memcached vulnérable. En retour, le serveur vulnérable envoie des paquets UDP vers la cible prévue avec des facteurs d'amplification importants. Les experts en cybersécurité estiment que certaines amplifications Memcached peuvent atteindre 51 000 fois la demande « GET » initiale, lui demandant de renvoyer une grande quantité de données UDP. La requête est conçue pour usurper l'adresse IP source et semble ainsi provenir de l'adresse IP de la victime. Lorsque le serveur Memcached répond, il envoie les données à l'adresse IP de la victime, amplifiant le trafic et submergeant le serveur de la victime.
Comment se déroule une attaque DDoS Memcached ?
Voici les différentes étapes d'une attaque DDoS Memcached :
- L'attaquant recherche des serveurs Memcached vulnérables sur Internet.
- Il envoie une petite requête HTTP GET au serveur Memcached exposé, lui demandant de renvoyer une grande quantité de données utiles UDP Memcached. La requête est conçue pour usurper l'adresse IP source et semble ainsi provenir de l'adresse IP de la victime.
- Le serveur Memcached répond à la demande en envoyant une grande quantité de données à l'adresse IP de la victime.
- Le serveur de la victime dans les centres de données est submergé par le trafic d'attaque par réflexion malveillante, ce qui le rend inaccessible aux utilisateurs légitimes.
Pourquoi une attaque DDoS Memcached est-elle efficace ?
Une attaque DDoS Memcached est efficace car elle peut amplifier jusqu'à 50 000 fois la charge utile du trafic d'attaque. Cela signifie qu'une petite requête peut entraîner l'envoi d'une quantité considérable de trafic vers le serveur ou le centre de données de la victime. En outre, les serveurs Memcached sont souvent connectés à des réseaux haut débit. Le trafic peut donc être envoyé très rapidement et il est alors plus difficile de s'en protéger. Une autre raison courante est que le hacker n'a pas besoin de maintenir sa propre infrastructure pour générer des attaques DDoS. Les hackers peuvent exploiter des ressources Internet ouvertes pour l'usurpation d'adresse IP, des attaques de port UDP et d'autres points de terminaison ciblés. La plus grande attaque DDoS enregistrée par Akamai comprenait plus de 1 Tbit/s de trafic d'attaque provenant du protocole Memcached.
Comment se défendre contre une attaque DDoS Memcached ?
Voici quelques solutions que vous pouvez appliquer pour vous protéger contre une attaque DDoS Memcached :
- Désactiver UDP : les serveurs Memcached utilisent par défaut le protocole UDP, qui peut être facilement usurpé. En désactivant UDP et en autorisant uniquement TCP, vous pouvez empêcher les requêtes usurpées d'atteindre votre serveur Memcached.
- Pare-feu : vous pouvez également utiliser un pare-feu pour bloquer le trafic entrant provenant d'adresses IP malveillantes connues vers votre serveur Memcached.
- Limiter le débit : une autre solution consiste à mettre en œuvre la limitation du débit sur le trafic entrant pour éviter les pics de trafic vers votre serveur Memcached.
- Mettre à jour Memcached : assurez-vous d'exécuter la dernière version de Memcached, qui inclut des correctifs de sécurité.
- Ciblé directement avec des attaques DDoS Memcached : tirez parti des protections DDoS dans le cloud pour ce type d'attaque. Compte tenu du fort facteur d'amplification et du nombre élevé de serveurs Memcached ouverts, la mise en œuvre d'atténuations locales au niveau du centre de données peut entraîner des problèmes de capacité.
Foire aux questions (FAQ)
Non, Memcached n'est pas le seul service pouvant être utilisé dans les attaques par amplification. D'autres services comme DNS, NTP et CLDAP ont également été utilisés dans des attaques similaires.
Vous pouvez utiliser un scanner de vulnérabilité pour tester votre serveur Memcached. S'il s'avère vulnérable, vous devrez prendre les mesures nécessaires pour le sécuriser dès que possible.
Prévenir les attaques Memcached et d'autres attaques DDoS
Les attaques DDoS Memcached constituent une menace sérieuse qui peut être utilisée pour mettre hors service les sites Web et les serveurs. Les hackers peuvent exploiter les vulnérabilités des serveurs Memcached pour amplifier leurs attaques et submerger leurs cibles. Cependant, en prenant des mesures comme la désactivation du protocole UDP, la mise en œuvre de la limitation de débit et la mise à jour de votre serveur Memcached, vous pouvez vous protéger contre ces attaques. Il est important de rester vigilant et de maintenir vos défenses à jour pour rester protégé dans l'écosystème des cyberattaques en constante évolution.
Pourquoi les clients choisissent-ils Akamai ?
Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège la vie en ligne. Nos solutions de sécurité leaders du marché, nos renseignements avancés sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises partout dans le monde. Les solutions de Cloud Computing complètes d'Akamai offrent des performances à moindre coût sur la plateforme la plus distribuée au monde. Des grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe dont elles ont besoin pour développer leur activité en toute confiance.