Tuesday, March 20, 2018

Hướng dẫn DDOS memcached và cách phòng chống

Đây là biện pháp tấn công DDOS mới xuất hiện vào đầu năm 2018. Các chuyên gia bảo mật phát hiện ra các Hacker đã thực hiện tấn công DDOS theo một kiểu mới. Lần này, sức tấn công có quy mô khuyếch đại hơn 51.000 lần so với thông thường (lớn nhất lịch sử).

Tìm hiểu về kiểu Tấn công Memcached


Memcached là tên gọi được đặt ra cho loại tấn công quy mô lớn này. Điều đặc biệt của loại tấn công này là khả năng khuyếch đại sức mạnh hơn 51000 lần. Điều này đã gây chao đảo cho các chuyên gia và chấn động lịch sử bảo mật thế giới.

Phương thức này lợi dụng lỗ hổng mamcached - hệ thống lưu trữ bản sao của các đối tượng. Dữ liệu tại đây được trao đổi nhiều lần và liên tục để tăng tốc độ truy xuất. Hệ thống này thường được sử dụng để tối ưu hóa việc truy xuất dữ liệu từ database. Nhằm mang lại trải nghiệm tốt hơn cho người duyệt web.

Hệ thống là điểm mạnh nhưng đồng thời cũng là điểm yếu để các Hacker tấn công. Trong thời gian sắp tới, các chuyên gia bảo mật lo lắng rằng các Hacker sẽ lợi dụng điều này để tạo ra các cuộc tấn công DDOS lớn hơn nữa.

Nạn nhân gần đây ?


Nạn nhân gần đây của chúng ta không quá xa lạ đó chính là Github ( Trang trao đổi và quản lý source code cho các lập trình viên). Github đã hứng một cơn mưa đạn và gần như tê liệt, đội ngũ bảo mật của họ phải tập trung toàn bộ sức lực trong nhiều giờ để khắc phục sự cố.

Trong tuần qua, các tin tặc (hacker) đã triển khai nhiều cuộc tấn công có khối lượng hơn 500Gb/s đến từ port UDP 11211.

Hướng dẫn DDOS memcached và cách phòng chống

Cách tấn công


Dạng tấn công khuyếch đại này có cơ chế tấn công là gần như giống nhau. Hacker sẽ giả mạo IP mục tiêu, rồi gửi yêu cầu giả mạo đến một máy chủ UDP phòng thủ yếu. Lúc đó, máy chủ UDP không nhận dạng được IP giả mạo và reply lại một lượng dữ liệu lớn đến mục tiêu.

Việc tấn công này sẽ khuyếch đại và gây ảnh hưởng và tổn hại rất lớn. Vì các gói tin khi hệ thống UDP phản hồi thường sẽ lớn hơn nhiều so với yêu cầu (nên gọi là khuyếch đại).

Bạn biết dịch vụ của Cloudflare CDN chứ ? Một dịch vụ phòng chống DDOS phổ biến. Đội ngũ của họ đã tìm hiểu và xác định cuộc tấn công này xuất phát từ khoảng 6000 máy chủ memcached.

Đau đầu hơn, họ còn cho biết rằng hiện tại trên thế giới có hơn 93.000 máy chủ tương tự như trên. Cho nên, tiềm lực tấn công trong tương lai với sức công phá còn lớn hơn gấp nhiều lần. Chúng ta nên tìm hiểu cách khắc phục sớm nhất có thể.

Chuẩn bị


Cài đặt Python (bản 3.0 trở lên) để làm công cụ tấn công.

Cài thêm hai Module là scapy và shodan.

Thực hiện


Đầu tiên, chúng ta sẽ sử dụng Shodan API. Nhưng để sử dụng được, bạn cần có một API của Shodan. Truy nhập vào link bên dưới để đăng ký sử dụng Shodan API.

Register Shodan API


Nhớ bỏ qua quảng cáo để ủng hộ Anonyviet nha.


Tuy nhiên, để có được key miễn phí mà không mất tiền bạn phải dùng mail edu. Để họ hiểu là bạn là sinh viên và dùng cho mục đích học tập nên miễn phí. Mã bảo mật của memchached đã được dông bố.

Skip to main contentSkip to toolbar Dashboard Posts All Posts Add New Categories Tags Media Library Add New Pages All Pages Add New Comments All Comments Contact Contact Forms Add New Profile Tools WPBakery Page Builder About Grid Builder Redirects Collapse menu About WordPress AnonyViet 00 comments awaiting moderation New SEOEnter a focus keyword to calculate the SEO score Howdy, Lmint Log Out Help Screen Options Add New Post Thank you for updating Insert Post ADS! This update features vi stories from video intelligence - a video player that supplies both content and video advertising. Watch a demo. To begin earning sign up to vi stories and place the ad live now! Read the FAQ. Click the ‘Monetize Now’ button to activate vi stories. You’ll agree to share your domain, affiliate ID and email with video intelligence, and begin your journey to video publisher.Monetize Now Dismiss this notice. Enter title here Hướng dẫn DDOS memcached và cách phòng chống Permalink: https://anonyviet.com/huong-dan-ddos-m…cach-phong-chong/ ‎Edit Add Media Shortcodes Insert shortcodeVisualText File Edit Insert View Format Table Tools Paragraph Verdana 11ptFormats Shortcodes Word count: 917 Draft saved at 11:53:15 am. Toggle panel: OneSignal Push Notifications OneSignal Push Notifications Send notification on post publish Toggle panel: Publish Publish Save Draft Preview (opens in a new window) Status: Draft Edit Edit status Visibility: Public Edit Edit visibility Publish immediately Edit Edit date and time Readability: OK SEO: Not available Move to TrashPublish Toggle panel: Format Format Toggle panel: Yoast internal linking Yoast internal linking Toggle panel: Categories Categories All Categories Most Used Featured MMO Advertisers - Publishers Affiliate Program Kiếm tiền bằng điện thoại Pay Per Click - PPC Network Hyper-V Linux Mạng cơ bản Windown Server 2012 Security Basic Hacking DDOS Deface Kali Linux / Backtrack SQL Injection Virus-Trojan-Rat Software Phần mềm điện thoại Thủ thuật Code Facebook Mẹo Vặt Máy Tính Windows 7/8/10 Tin tức Uncategorized Video hướng dẫn Đồ Họa + Add New Category Toggle panel: Tags Tags Add New Tag Add Separate tags with commas Choose from the most used tags Toggle panel: Featured Video Featured Video Toggle panel: Featured Image Featured Image Set featured image Toggle panel: HTTPS HTTPS Secure post Secure child posts Toggle panel: Show AMP for Current Page? Show AMP for Current Page? Show Hide Toggle panel: Post Adverts Post Adverts Toggle panel: Post Settings Post Settings Toggle panel: Yoast SEO Premium Yoast SEO Premium Need help? Content optimization Enter a focus keyword to calculate the SEO scoreSocial Readability OK Enter your focus keyword + Add keyword Snippet preview Show information about the snippet editorYou can click on each element in the preview to jump to the Snippet Editor. SEO title preview:Hướng dẫn DDOS memcached và cách phòng chống » AnonyViet Slug preview:https://anonyviet.com/huong-dan-ddos-memcached-va-cach-phong-chong/ Meta description preview:Đây là biện pháp tấn công DDOS mới xuất hiện vào đầu năm 2018. Các chuyên gia bảo mật phát hiện ra các Hacker đã thực hiện tấn công DDOS theo một kiểu mới. Lần này, sức tấn công có quy mô khuyếch đại hơn 51.000 lần so với thông thường (lớn nhất lịch sử). Tìm hiểu về kiểu Tấn công Memcached Memcached là tên gọi được đặt Edit snippet Focus keyword Show information about the focus keywordEnter a focus keyword This article is cornerstone content Analysis Show information about the content analysis Problems (3) No focus keyword was set for this page. If you do not set a focus keyword, no score can be calculated. No meta description has been specified. Search engines will display copy from the page instead. No internal links appear in this page, consider adding some as appropriate. Improvements (2) The images on this page contain alt attributes. The slug for this page is a bit long, consider shortening it. Good results (3) The text contains 862 words. This is more than or equal to the recommended minimum of 300 words. This page has 0 nofollowed outbound link(s) and 1 normal outbound link(s). The SEO title has a nice length. Insights Prominent words The following words and word combinations occur the most in the content. These give an indication of what your content focuses on. If the words differ a lot from your topic, you might want to rewrite your content accordingly. tấn công máy chủ của bạn các chuyên gia bảo mật các chuyên gia tấn công ddos Read our ultimate guide to keyword research to learn more about keyword research and keyword strategy. Toggle panel: Excerpt Excerpt Excerpt Excerpts are optional hand-crafted summaries of your content that can be used in your theme. Learn more about manual excerpts. Toggle panel: Send Trackbacks Send Trackbacks Send trackbacks to: Separate multiple URLs with spaces Trackbacks are a way to notify legacy blog systems that you’ve linked to them. If you link other WordPress sites, they’ll be notified automatically using pingbacks, no other action necessary. Toggle panel: Custom Fields Custom Fields Name	Value Add New Custom Field: Name	Value Enter new	 Add Custom Field Custom fields can be used to add extra metadata to a post that you can use in your theme. Toggle panel: Discussion Discussion Allow comments Allow trackbacks and pingbacks on this page Toggle panel: Slug Slug Slug Toggle panel: Author Author Author Toggle panel: Custom AMP Editor Custom AMP Editor Use This Content as AMP Content If you want to add some special tags, then please use normal HTML into this area, it will automatically convert them into AMP compatible tags. Add Media Shortcodes Insert shortcodeVisualText File Edit Insert View Format Table Tools Paragraph Verdana 11ptFormats Shortcodes Copy The Content Toggle panel: AMP Page Builder AMP Page Builder Start the AMP Page Builder Thank you for creating with WordPress. Version 4.9.4 Link inserted. No results found. Close media panel Add Media Create Gallery Create Audio Playlist Create Video Playlist Featured Image Insert from URL Add Media Upload FilesMedia Library Filter by typeFilter by dateSearch Media Search media items... Deselect ATTACHMENT DETAILS 1-5.png March 20, 2018 29 KB 728 × 380 Edit Image Delete Permanently URL https://anonyviet.com/wp-content/uploads/2018/03/1-5.png Title 1 Caption Alt Text Hướng dẫn DDOS memcached và cách phòng chống Description Required fields are marked * Slide link Shortcodes Ultimate Use this field to add custom links to slides used with Slider, Carousel and Custom Gallery shortcodes ATTACHMENT DISPLAY SETTINGS Alignment Link To http:// Size 1 selected Clear Insert into post Chọn tệpHướng dẫn DDOS memcached và cách phòng chống

Sử dụng Docker


Bạn có thể dùng Alpine để triển khai tool này lên trên Server và sử dụng. Xem video demo bên dưới nhá.

git clone https://github.com/649/Memcrashed-DDoS-Exploit.git
cd Memcrashed-DDoS-Exploit
echo "SHODAN_KEY" > api.txt
docker build -t memcrashed .
docker run -it memcrashed

Nhớ nhập 'y' hoặc 'n' khi được yêu cầu nhấn tương tác nhé. Y là yes, N là no.

Download Tool Memcrashed-DDoS-Exploit


Đây là tool được viết bằng python và dùng ở bản 3.0 trở lên nhé.


Xem cách sử dụng kết hợp với Shodan vầ Docker trong vieo phía trên nhé.


Download



Giải pháp xử lý hình thức tấn công mới này


Trong khi chờ đợi biện pháp khắc phục triệt để bạn nên tạm thời phòng ngừa. Dưới đây là danh sách những điều bạn cần làm hiện tại để ngăn ngừa.

Đối với người dùng memcached


Nếu bạn đang sử dụng thì hãy tắt hỗ trợ UDP nếu không sử dụng nó. Tại memcached startup có thể chỉ định –listen 127.0.0.1 để listen trên localhost và -U 0 để hoàn toàn vô hiệu hóa phương thức UDP.

Vì mặc định thì memcached listen trên INADDR_ANY và chạy nếu bạn mở giao thức UDP. Mình sẽ để một tài liệu tiếng anh từ các chuyên gia Github trong link dưới đây. Nếu bạn hứng thú có thể vào để nghiêng cứu sâu.

Xem tài liệu


Nhớ bỏ qua quảng cáo để ủng hộ mình nha.


Để kiểm tra máy chủ của bạn có bị lỗi hay không hãy dùng câu lệnh đơn giản sau:

Nếu như có kết quả trả về như trong ảnh dưới đây thì chứng tỏ máy chủ của bạn gặp lỗi. Còn nếu không có kết quả phản hồi thì máy chủ của bạn tạm an toàn.

Hướng dẫn DDOS memcached và cách phòng chống

Giải pháp cho quản trị hệ thống


Bạn nên làm là cài đặt tường lửa (firewall) ngăn chặn mọi kết nối đến port 11211. Nếu muốn kiểm tra chúng có bị truy cập qua giao thức UDP được không thì có thể dùng lệnh "echo" để kiểm tra như cách trên.

Hoặc dùng lệnh nmap để kiểm tra trạng thái của port 11211 trên Server.

Giải pháp cho nhà phát triển web


Điều tốt nhất là chúng ta nên ngừng sử dụng giao thức UDP. Nhưng nếu bạn bắt buộc phải dùng thì vui lòng không kích hoạt nó theo mặc định. Nếu bạn buộc phải sử dụng UDP hãy đảm bảo gói tin bằng hoặc nhỏ hơn yêu cầu gửi tới. Tránh hiệu ứng khuếch đại khi gói tin DDOS gửi đến.

Like Fanpge hoặc theo dõi website để cập nhật nhanh các bài viết hay.

 

Chúc bạn thành công
Lmint.

No comments:

Post a Comment