Hogyan készítsünk DDOS támadást az IP-n
Közzétett segédprogramok a DDOS-támadásokhoz a memcached használatával, de a szakértők védelmi eszközt találtak
Az elmúlt hetekben az egyik legfontosabb eseménye lehet a legerősebb DDOS támadásoknak, elérve az 1,7 tb / s kapacitását a memcached amplifikáció miatt. Most a hálózat közzétett POC segédprogramok rendezésére ilyen támadások, valamint az IP-címek 17 sebezhető szervereket. De ezzel szinte ezzel párhuzamosan a Corero hálózati biztonsági szakemberek arról számoltak be, hogy megtalálták a védelmet.
Hadd emlékeztessem Önt arra, hogy a támadók megtanulták a Memcached szervereket használni a DDOS támadások erősítéséhez, amely lehetővé teszi, hogy több mint 50 alkalommal erősítse meg a támadást. Ezt a módszert először írták le (PDF) a Qihoo 0Kee Team kutatói évének novemberében, majd a szakértők megjósolták, mert a memcached szerverek működése miatt a DDOS támadások 2 TB / s.
Újra az amplifikáció módjáról február végén és március elején beszélt. Ezután Qrator Labs, CloudFlare, Arbor Networks és Qihoo szinte egyszerre számoltak be, hogy a bűnözők valóban elkezdték használni memcached erősítésre DDoS támadások, és beszámolt a tükörképe GB / s támadásokat. Ezután, a támadás, amelynek kapacitása 1,35 TB / s volt, összeomlott GitHubról, és esetek extortionable DDoS támadások feljegyeztük, továbbá megerősített használatával Memcached.
Kihasználás
Egykor a hálózaton közzétettek közzé a DDOS-támadások megszervezéséhez a DDOS-támadások megszervezéséhez a Memcached által az amplifikációval.
Az első segédprogram van írva a Python HAB szkript, amely beolvassa a shodan keresve veszélyeztetett memcached szerverek. A parancsfájl lehetővé teszi a felhasználó számára, hogy azonnal használja a kapott IP-címeket a DDOS támadás fokozása érdekében. E határozat szerzője az IB szakember, a vezető blog
A második hasznosság megjelent a Pastebinben a korai folyó héten, annak szerzője ismeretlen. Az eszköz C-ben írt, és elkészül egy listát 17 IP-címek tartozó veszélyeztetett memcached szerverek. A parancsfájl elindítja a DDOS támadást a címmel a listából az amplifikációhoz.
A memcached-támadás megszervezésének másik módját egy IB szakember publikálta a Twitterben, és a teljes kód egy üzenetbe illeszkedik.
#Memecached udp 50, x amp támadás ip spoof poc. Szintaxis Args: victic_ip memecache_ip
Használja az aljzatot, az R, 2.3.0×14, x01x00x00statsrn), 0, packsna4x8,2,60, pop
En (@the_ens) március 3-án,
Sajnos a tercier DDOS támadások ellenére a hálózaton lévő sebezhető memcached szerverek száma nagyon lassan csökken. Például egy jól ismert kutató és a GDI Alapítvány Victor Gevers vezetője próbálta kijavítani a jelenlegi helyzetet több mint két éve, kommunikál a problémás szerverek tulajdonosaival, és magyarázza nekik, hogyan kell megvédeni magukat és másokat.
“Sajnálom, hogy két év elteltével a DDOS támadások figyelmeztetései még mindig elkezdődtek. Néha tényleg nem akarok helyesnek lenni – mondta Gevers az újságíróknak a számítógépes számítógépen. – Keresse meg a tulajdonosokat [sérülékeny szerverek], figyelmezteti őket a kockázatokról és az erő cselekvéséről, ez nagyon gyakorlatilag hiába van. Az a tény, hogy nincs adatszivárgásveszély, és az emberek gyakran nem válaszolnak az e-mailünkre.
Az erőteljes DDOS támadások fenyegetése nem fog eltűnni bárhol. Most, hogy POC megoldások vannak írva, és kész listák [sérülékeny szerverek] közzétett, már a jövő héten van egy jelentős növekedése erősíti memcached támadásokat.
Védelem
Szeretném reménykedni, hogy a Viktor Govers komor előrejelzései nem félnek, mert nem minden IB szakember dolgozott a Poc-segédprogramokon a támadások szervezéséhez. Például Corero hálózati biztonsági szakértők arra keresték a lehetséges módon oldja meg a problémát, és jelentette, hogy sikerült megtalálni a „chopper” képes megállítani memcached-DDoS.
Egy héttel ezelőtt az egyik olyan memcached fejlesztő, amelyet a flush_all és a leállítási parancs megtámadásainak védelmére nyújtottak, az áldozat küldhet a kiszolgálóknak, ahonnan DDO-k.
Mert mit érdemes, ha megtámadja a Memcached-t, akkor elég könnyű letiltani őket, mivel a forrás nem lesz spoofed. Elfogadják a leállítását, de a flush_allrn egy hurokban történő futtatása megakadályozza az amplifikációt.
Dormando (@dormando) február 27,
Ez a tanács észrevétlen maradt, amíg március 7, míg Corero hálózati biztonsági szakértők nem tett közzé sajtóközleményt szentelt memcached támadásokat. A vállalat fejlesztői megírják, hogy a DDOS támadások elleni védelmére vonatkozó döntésüket frissítették, és most “száz százalékos hatékony” módot tartalmaz, hogy megakadályozzák őket. Hogyan nem nehéz kitalálni, a Memcached Developer Boardhoz rendelt szakértők, és a flush_all használatával, hangsúlyozva, hogy nincs ilyen módszer.
Alkalmazza ezt a módszert, elméletileg bármely vállalat, akkor is, ha nem teszi lehetővé a különleges védelmi szolgáltatások szolgáltatásait. Elég olyan szkriptek létrehozása, amelyek elküldi a leállítás és a flush_all parancsot a támadó szerverekhez, arra kényszerítve, hogy a gyorsítótár tisztítása rosszindulatú csomagokból.
Érdemes megjegyezni, hogy a MEMCCHED fejlesztők kiadották a termékük frissített változatát, a MEMCRACHED V-t, amelyben a CVE biztonsági rése volt abban a tényben, hogy az alapértelmezett memcached szerverek a kikötőn keresztül érhetők el, és a támadók sajátossága támadások erősítésére. A fejlesztők megváltoztatták az alapértelmezett konfigurációt az UDP protokoll “A dobozból” kikapcsolásával.
A fejlesztők által kiadott média és javítás nyilvánossága úgy tűnik, hogy munkát végeznek. Így a Rapid7 szakemberek arról számoltak be, hogy a nyitott kikötővel rendelkező sebezhető memlached szerverek száma csökken. A Társaság szerint március 1-én a számuk 18 éves volt, de március 5-én 12-re csökkent
Hasonló képet figyeltek meg, és a fent említett Victor Gevrrrs, amely szakértő jelentett a Twitterben. Azt írja, hogy március 8-án reggel a sebezhető szerverek száma egyenlő volt, a Shodan statisztikák szerint, és fokozatosan tovább csökken.
Bár ma reggel Shodan Memcached szerverei voltak. A népességmegyek lassan, de folyamatosan zsugorodnak. Kiszolgálók, amelyek ma reggel sérülékenyek ma már 8 órával később zárva vannak. Még mindig hosszú útunk van, de előrelépést teszünk. ? Hab
Victor Gevers (@ 0xDude) március 7, megosztja a híreket a barátaival:
Comments are closed, but trackbacks and pingbacks are open.