Trovato il modo per fermare il DDoS di memcached

Matteo Cappadonna
0

Sicuramente, se avete tra i sistemi che gestite un memcached, questa non può che essere un’ottima notizia.

Per chi non lo conoscesse, memcached è un sistema di caching in RAM ad oggetti, utilizzato prevalentemente per l’accelerazione del caricamento di siti web, anche se in realtà può essere utilizzato per tantissime altre cose.

Tutto è nato ad inizio Marzo, quando gli amministratori di sistema di GitHub hanno dovuto gestire il più grande attacco DDoS (Distributed Denial of Service) della storia: 1,35Tbps di traffico di picco, seguiti da un’altro picco a 400Gbps, e poi diversi altri.

Ma da cosa era stato generato tutto questo traffico? Da diversi memcached aperti su internet, con il protocollo UDP abilitato. Inviando un pacchetto creato ad-hoc si poteva “ingannare” questi memcached e forzarli a chiamare insistentemente un indirizzo bersaglio, con una ratio di 1:50000 (1 pacchetto udp ricevuto si trasformava in 50000 chiamate effettuate dai memcached).

Fortunatamente Corero, azienda che si occupa di soluzioni, prodotti e servizi per mitigare e contrastare attacchi di tipo DDoS, ha trovato un modo affinché il server attaccato “resetti” i memcached attaccanti, bloccando il flusso di chiamate. L’azienda ha affermato di aver testato il metodo su reali server che stavano eseguendo il flood, e che la sua soluzione funziona al 100%, e senza effetti collaterali.

Il problema è quindi risolto. Nel frattempo è stata aperta la CVE-2018-1000115 per la versione 1.5.5, e gli sviluppatori di memcached hanno già rilasciato la 1.5.6 che risolve il problema disabilitando il protocollo UDP di default, richiedendo una configurazione specifica per riattivarlo.

Aggiornate quindi gente, perché purtroppo tool per lanciare gli attacchi sono facilmente disponibili online, come su Pastebin ed – ironia della sorte – su GitHub stesso.

Matteo Cappadonna

Utente Linux/Unix da più di 20 anni, cerco sempre di condividere il mio know-how; occasionalmente, litigo con lo sviluppatore di Postfix e risolvo piccoli bug in GNOME. Adoro tutto ciò che può essere automatizzato e reso dinamico, l’HA e l’universo container. Autore dal 2011, provo a condividere quei piccoli tips&tricks che migliorano il lavoro e la giornata.

, ,

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
Vai alla sezione Articoli
Vai ai Saturday’s Talks

Categories

Articoli (68) Il mmullato (3) Notizie (2907) Saturday's Talks (46)

Tag cloud

ai (43) Android (32) AWS (30) Bug (67) Canonical (81) CentOS (41) Cloud (59) container (48) Controversia (34) Debian (88) desktop (30) docker (61) Fedora (52) Firefox (36) GitHub (66) Google (85) IBM (49) Intel (54) KDE (35) Kernel (218) Kubernetes (89) Linux (672) LinuxFoundation (31) LTS (32) Malware (53) Microsoft (179) MicrosoftLovesLinux (37) Mozilla (37) open-source (322) Openstack (56) Oracle (34) Patch (30) RaspberryPI (30) Red Hat (154) Release (46) RHEL (36) SaturdaysTalks (45) Sicurezza (90) Software (36) SUSE (34) systemd (73) Torvalds (79) Ubuntu (167) Vulnerabilità (55) Windows (80)