Memcrashed Và NTP DDOS Có Gì Giống Nhau

04/03/2018
0
1 bài viết
Memcrashed Và NTP DDOS Có Gì Giống Nhau
Gần đây có xẩy ra một vụ ddos khá lớn sử dụng lỗ hổng trên memcacher nó được đặt tên là Memcrashed tuy có vẻ lớn nhưng cách thức tấn công thì khá cũ thực ra trước đây đã có một cách dùng NTP- network time protocol để ddos sập rất nhiều dịch vụ lớn trên thế giới. vậy chúng có gì giống nhau và tấn công ra sao?

anh sua bai box ddos.png

1. Phóng thoáng thái quá

Trong cuộc tấn công vào phương thức NTP các hacker bằng cách lấy time trên server qua port 123 và ném cái server trả lời về cho victim khiến nó sập hoàn toàn trong khi server NTP kia cứ reply mà không check chính xác là thằng nào gửi nên trong cuộc tấn công Memcrashed nó cũng tương tự như vậy chỉ khách là hacker dùng port 11211

2. Phóng đại quá đà

Trong NTP khi một dữ liệu được gửi đi có dung lượng là 1Gb thì bạn sẽ nhận về 1000Gb dữ liệu.

Trong Memcache thì khi bạn gửi 1Gb dữ liệu bạn sẽ nhận lại 51200Gb dữ liệu một con số khủng khiếp đánh bại mọi server

Từ 2 yếu tố trên thì có thể thấy đây là một cách ddos hết sức nguy hiểm.

Vậy làm thế nào để ddos được server có lỗi này???

Nếu bạn thích dùng metasploit thì đây là những gì dành cho bạn

Ubuntu 16.04:
apt-get install memcached
sed -i 's/-l 127.0.0.1/#-l 127.0.0.1/g' /etc/memcached.conf
/etc/init.d/memcached restart

CentOS 7:

yum -y install memcached
systemctl start memcached # Listens on 0.0.0.0 by default

Run the module:

msf5 > use auxiliary/scanner/memcached/memcached_amp
msf5 auxiliary(scanner/memcached/memcached_amp) > set RHOSTS 192.168.2.114 192.168.2.115
RHOSTS => 192.168.2.114 192.168.2.115
msf5 auxiliary(scanner/memcached/memcached_amp) > run
[*] Sending Memcached stats probes to 192.168.2.114->192.168.2.115 (2 hosts)
[+] 192.168.2.114:11211 - Response is 781 bytes [52.07x Amplification]
[+] 192.168.2.115:11211 - Response is 1182 bytes [78.8x Amplification]
[*] Scanned 2 of 2 hosts (100% complete)
[*] Auxiliary module execution completed

Tóm cái váy đoạn loằng ngoằng trên là nó sẽ scan xem IP nào mở port 11211 và sau đó gọi quân tới nhử mồi chỉ cần 1 request rất nhỏ thôi cũng đủ cho bạn sập tiệm

Còn bao nhiêu server có thể ddos phát sập luôn thì coi ở đây nè

https://www.shodan.io/search?query=11211

Vậy fix nó như thế nào

Đơn giản bản chỉ cần để port 11211 listen cái IP 127.0.0.1 là song dịch vụ memcache vẫn chạy như thường nhưng chả ai ddos được bạn đâu.

Đầu tiên các bạn mở fiel cấu hình của memcahe ra tại /etc/sysconfig/memcached các bạn sẽ thấy cái nội dung như sau:

PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS=""

Tiến hành sửa thành

PORT="11211"

USER="memcached"

MAXCONN="1024"

CACHESIZE="64"

OPTIONS="-l 127.0.0.1"
-l 127.0.0.1 là chi cho nó lắng nghe từ 1 ip 127.0.0.1

Tiến hành restart lại memcache hoặc reboot lại server :v là khỏe re :)

Nguồn : https://anonymousvn.org/memcrashed-va-ntp-ddos-co-gi-giong-nhau.hav
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
ddos memcache memcrashed
Bên trên