Cloudflareのセキュリティ研究者は、分散型サーバーキャッシュシステム「memcached」を悪用する攻撃者によるDDoS増幅攻撃が増加していることに気づき始めている。
Memcached 増幅攻撃
増幅技術は、基本的にサーバーのプロトコルの通常の動作を利用して、特定のターゲットにトラフィックを送信するようにサーバーを誘導します。これらのプロトコルは、誰かがサーバーにリクエストを送信した際に、サーバーからの応答を要求することがよくあります。このように動作するプロトコルの一つがmemcachedで、最近、一部の攻撃者がDDoS攻撃に悪用し始めています。
Cloudflareは、ピーク時には260Gbpsの帯域幅を持つUDP memcachedトラフィックのDDoS攻撃を観測しました。Cloudflareによると、この攻撃は増幅攻撃の基準から見て重大なものです。悪意のある攻撃者がこれほど強力な攻撃を実行できた理由の一つは、memcachedサーバーから送信されるパケットが非常に大きいことでした。パケットの大部分は1,400バイトです。
研究者らは、memcachedによるUDPプロトコルの使用方法が、memcachedを増幅攻撃に最も適したプロトコルの一つにしていると指摘しました。memcachedシステムは、サーバーへのリクエストが正当なものかどうかを確認するチェックを行っていません。そのため、攻撃者は1回のレスポンスにつき最大1MBという大きなサイズのレスポンスを要求できます。
Memcached攻撃がどのように開始されるか
さらに悪いことに、memcached 増幅攻撃を仕掛けるのはそれほど難しくないように思えます。攻撃者はまず、memcached サーバーに悪意のあるペイロードを埋め込む必要があります。次に、「get」リクエストを偽装し、サーバーがターゲットの「送信元IP」(攻撃者がサービスを妨害しようとしているターゲット)に大容量のレスポンスを送信するようにします。
Cloudflareの研究者は、15バイトのリクエストを10,000倍から51,200倍に増幅するmemcached攻撃を確認しました。最も脆弱なmemcachedサーバーは北米とヨーロッパに設置されているようです。
Memcached攻撃を阻止する方法
Cloudflareは、memcachedユーザーに対し、UDPサポートを無効化することを推奨しています。UDPサポートはデフォルトで有効になっていることが多いためです。これは、この種の攻撃を即座に阻止する最も効果的な方法と言えるでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
さらに、システム管理者は、memcached サーバーのトラフィック フローを制限するファイアウォールも設定する必要があります。
最終的に、増幅攻撃を完全に阻止したいのであれば、脆弱なプロトコルを修正し、IPスプーフィングを根絶する必要があるとCloudflareは考えています。IPスプーフィングが可能である限り、他のプロトコルや脆弱性を介したインターネット上の増幅攻撃は継続するでしょう。
