Che cosa sono gli attacchi DDoS Memcached?

Negli ultimi anni, abbiamo notato un costante aumento del numero e della sofisticatezza degli attacchi DDoS (Distributed Denial-of-Service) distribuiti. Una tattica usata dai criminali per amplificare il loro attacco consiste nello sfruttare le vulnerabilità dei server Memcached. In questo articolo, spiegheremo come funzionano gli attacchi DDoS Memcached, perché sono così efficaci e cosa potete fare per difendervi.

Memcached è un sistema di memorizzazione nella cache del database ad alte prestazioni, open source e distribuito. Il database chiave-valore viene spesso usato per accelerare i siti web e le applicazioni web dinamici memorizzando nella cache i dati a cui si accede frequentemente. Memcached viene ampiamente usato da aziende come Facebook, Twitter e YouTube. Memcached presenta anche il supporto UDP e contribuisce fortemente come vettore di attacco.

Un attacco DDoS (Distributed Denial-of-Service) è un tipo di attacco informatico in cui un gran numero di dispositivi violati (chiamati botnet) sovraccarica di traffico un sito web o un server preso di mira. Gli hacker usano l'enorme volume di traffico che sommerge il bersaglio per renderlo inaccessibile agli utenti legittimi o a funzioni quali l'autenticazione.

Gli attacchi Memcached sono un tipo di attacco di amplificazione in cui un malintenzionato invia una richiesta HTTP GET a un server Memcached vulnerabile. Come risposta, il server vulnerabile server invia pacchetti UDP al bersaglio previsto con grandi fattori di amplificazione. Gli esperti di sicurezza informatica stimano che l'amplificazione Memcached può arrivare a 51.000 volte la richiesta "GET" iniziale, chiedendo di restituite una grande quantità di dati UDP. La richiesta è progettata per falsificare l'indirizzo IP sorgente, facendo sembrare che arrivi dall'indirizzo IP della vittima. Quando il server Memcached risponde, invia i dati all'indirizzo IP della vittima, amplificando il traffico e sovraccaricando il server della vittima.

Di seguito sono spiegati i passaggi coinvolti in un attacco DDoS Memcached:

1. Il malintenzionato cerca in Internet dei server Memcached vulnerabili.
2. Invia, quindi, una piccola richiesta HTTP GET al server Memcached esposto, chiedendogli di restituire una grande quantità di payload Memcached. La richiesta è progettata per falsificare l'indirizzo IP sorgente, facendo sembrare che arrivi dall'indirizzo IP della vittima.
3. Il server Memcached risponde alla richiesta inviando una gran quantità di dati all'indirizzo IP della vittima.
4. Il server della vittima presso i data center viene sovraccaricato dal traffico degli attacchi di riflessione dannoso, rendendolo inaccessibile agli utenti legittimi.

Un attacco DDoS Memcached è efficace perché può amplificare il payload del traffico degli attacchi fino a 50.000 volte. Ciò significa che una piccola richiesta può provocare l'invio di un'enorme quantità di traffico al server o al data center della vittima. Inoltre, i server Memcached sono spesso connessi a reti ad alta velocità, quindi il traffico può essere inviato molto rapidamente, il che rende la difesa un'impresa ardua. Un altro motivo comune è che i malintenzionati non hanno bisogno di mantenere una propria infrastruttura per generare attacchi DDoS. Possono, infatti, sfruttare le risorse Internet aperte per lo spoofing IP, gli attacchi alle porte UDP e altri endpoint bersaglio. Il più grande attacco DDoS registrato da Akamai includeva più di 1 Tbps di traffico proveniente dal protocollo Memcached.

Di seguito sono spiegate alcune opzioni che potete intraprendere per proteggervi da un attacco DDoS Memcached:

• Disabilitazione di UDP: per impostazione predefinita, i server Memcached usano il protocollo UDP, che può essere facilmente contraffatto. Disabilitando l'UDP e consentendo solo il TCP, potete impedire alle richieste illegittime di raggiungere il server Memcached.
• Firewall: potete anche usare un firewall per bloccare il traffico in entrata da indirizzi IP dannosi verso il proprio server Memcached.
• Limitazione della velocità: un'altra opzione è quella di implementare la limitazione della velocità sul traffico in entrata per prevenire picchi di traffico sul proprio server Memcached.
• Aggiornamento Memcached: assicuratevi di eseguire la versione più recente di Memcached, che include le patch di sicurezza.
• Bersagli diretti con DDoS Memcached: sfruttate le protezione DDoS per questo tipo di attacco. Considerato l'elevato fattore di amplificazione e il numero di server Memcached aperti, l'implementazione di mitigazioni locali a livello di data center potrebbe portare a problemi di capacità.

Gli attacchi DDoS Memcached sono una minaccia seria che può essere usata per abbattere siti web e server. I criminali possono sfruttare le vulnerabilità dei server Memcached per amplificare i loro attacchi e sopraffare i loro bersagli. Tuttavia, seguendo alcuni passaggi, come la disabilitazione di UDP, l'implementazione della limitazione della velocità e l'aggiornamento del server Memcached, potete proteggervi da questi attacchi. È importante restare vigili e tenere aggiornati i vostri sistemi di difesa per restare protetti nel paesaggio di minacce informatiche in continua evoluzione.