Qu'est-ce qu'une attaque DDoS Memcached ?

Ces dernières années, nous avons assisté à une augmentation significative du nombre et de la sophistication des attaques par déni de service distribué (DDoS). Pour amplifier leurs attaques, les hackers exploitent les vulnérabilités dans les serveurs Memcached. Dans cet article, nous allons expliquer le fonctionnement d'une attaque DDoS Memcached, pourquoi elle est si efficace et comment vous en protéger.

Memcached est un système Open Source et hautes performances de mise en cache de bases de données et de mémoire distribuée. La valeur clé est souvent utilisée pour accélérer les sites Web dynamiques et les applications Web en mettant en mémoire cache les données fréquemment utilisées. Memcached est largement utilisé par des entreprises comme Facebook, Twitter et YouTube. Memcached a également la prise en charge UDP et est un contributeur majeur au vecteur d'attaque.

Une attaque par déni de service distribué (DDoS) est un type de cyberattaque où un grand nombre de terminaux compromis (appelés botnet) inondent de trafic un site Web ou un serveur cible. Les pirates utilisent le volume de trafic qui submerge la cible, ce qui la rend inaccessible aux utilisateurs légitimes ou aux fonctions telles que l'authentification.

Les attaques Memcached sont un type d'attaque par amplification où un hacker envoie une requête HTTP GET à un serveur Memcached vulnérable. En retour, le serveur vulnérable envoie des paquets UDP vers la cible prévue avec des facteurs d'amplification importants. Les experts en cybersécurité estiment que certaines amplifications Memcached peuvent atteindre 51 000 fois la demande « GET » initiale, lui demandant de renvoyer une grande quantité de données UDP. La requête est conçue pour usurper l'adresse IP source et semble ainsi provenir de l'adresse IP de la victime. Lorsque le serveur Memcached répond, il envoie les données à l'adresse IP de la victime, amplifiant le trafic et submergeant le serveur de la victime.

Voici les différentes étapes d'une attaque DDoS Memcached :

1. L'attaquant recherche des serveurs Memcached vulnérables sur Internet.
2. Il envoie une petite requête HTTP GET au serveur Memcached exposé, lui demandant de renvoyer une grande quantité de données utiles UDP Memcached. La requête est conçue pour usurper l'adresse IP source et semble ainsi provenir de l'adresse IP de la victime.
3. Le serveur Memcached répond à la demande en envoyant une grande quantité de données à l'adresse IP de la victime.
4. Le serveur de la victime dans les centres de données est submergé par le trafic d'attaque par réflexion malveillante, ce qui le rend inaccessible aux utilisateurs légitimes.

Une attaque DDoS Memcached est efficace car elle peut amplifier jusqu'à 50 000 fois la charge utile du trafic d'attaque. Cela signifie qu'une petite requête peut entraîner l'envoi d'une quantité considérable de trafic vers le serveur ou le centre de données de la victime. En outre, les serveurs Memcached sont souvent connectés à des réseaux haut débit. Le trafic peut donc être envoyé très rapidement et il est alors plus difficile de s'en protéger. Une autre raison courante est que le hacker n'a pas besoin de maintenir sa propre infrastructure pour générer des attaques DDoS. Les hackers peuvent exploiter des ressources Internet ouvertes pour l'usurpation d'adresse IP, des attaques de port UDP et d'autres points de terminaison ciblés. La plus grande attaque DDoS enregistrée par Akamai comprenait plus de 1 Tbit/s de trafic d'attaque provenant du protocole Memcached.

Voici quelques solutions que vous pouvez appliquer pour vous protéger contre une attaque DDoS Memcached :

• Désactiver UDP : les serveurs Memcached utilisent par défaut le protocole UDP, qui peut être facilement usurpé. En désactivant UDP et en autorisant uniquement TCP, vous pouvez empêcher les requêtes usurpées d'atteindre votre serveur Memcached.
• Pare-feu : vous pouvez également utiliser un pare-feu pour bloquer le trafic entrant provenant d'adresses IP malveillantes connues vers votre serveur Memcached.
• Limiter le débit : une autre solution consiste à mettre en œuvre la limitation du débit sur le trafic entrant pour éviter les pics de trafic vers votre serveur Memcached.
• Mettre à jour Memcached : assurez-vous d'exécuter la dernière version de Memcached, qui inclut des correctifs de sécurité.
• Ciblé directement avec des attaques DDoS Memcached : tirez parti des protections DDoS dans le cloud pour ce type d'attaque. Compte tenu du fort facteur d'amplification et du nombre élevé de serveurs Memcached ouverts, la mise en œuvre d'atténuations locales au niveau du centre de données peut entraîner des problèmes de capacité.

Les attaques DDoS Memcached constituent une menace sérieuse qui peut être utilisée pour mettre hors service les sites Web et les serveurs. Les hackers peuvent exploiter les vulnérabilités des serveurs Memcached pour amplifier leurs attaques et submerger leurs cibles. Cependant, en prenant des mesures comme la désactivation du protocole UDP, la mise en œuvre de la limitation de débit et la mise à jour de votre serveur Memcached, vous pouvez vous protéger contre ces attaques. Il est important de rester vigilant et de maintenir vos défenses à jour pour rester protégé dans l'écosystème des cyberattaques en constante évolution.