Chưa đầy một tuần, Github đã nhận đợt tấn công DDoS với lưu lượng kỷ lục 1,35Tbps. Nhưng một ghi nhận mới đây cho thấy đã có một cuộc tấn công lên tới 1,7Tbps.

Theo công ty anh ninh và giám sát mạng Arbor Networks, hệ thống giám sát lưu lượng và nguy cơ tấn công DDoS của họ đã ghi nhận cuộc tấn công ánh xạ khuyếch đại lên đến 1,7Tbps vào một trong những khách hàng giấu tên của họ tại Mỹ.

Sau GitHub, thêm một vụ DDoS với lưu lượng 1,7Tbps

Với phương thức tấn công tương tự vụ của GitHub, một lượng băng thông của cuộc tấn công mới nhất đã được ánh xạ bới hơn 51.000 máy chủ Memcached cấu hình kém bảo mật bị khai thác trên Internet.

Memcached là một hệ thống phần mềm nguồn mở nổi tiếng để tạo bộ nhớ đệm, mới đây nó đã được biết đến sau khi các nhà nghiên cứu mô tả chi tiết cách kẻ tấn công có thể lạm dụng nó để khởi động tấn công DDoS khuếch đại, bằng cách gửi yêu cầu giả mạo tới máy chủ Memcached được nhắm mục tiêu trên cổng 11211 với địa chỉ IP giả mạo giống với IP của nạn nhân.

Bằng cách này, một vài byte của yêu cầu được gửi đến máy chủ dễ bị tấn công có thể kích hoạt hàng chục nghìn lần phản hồi với địa chỉ IP được nhắm mục tiêu, kết quả là một cuộc tấn công DDoS mạnh mẽ. Các nhà nghiên cứu lưu ý rằng tội phạm mạng đã bắt đầu vũ khí hóa các cuộc tấn công DDoS thông qua các máy chủ memcached dễ bị tổn thương để trục lợi từ nạn nhân.

Ở vụ 1.3 Tbps của GitHub tuần trước, Akamai cho biết khách hàng của họ đã nhận được tin nhắn tống tiền phát ra cùng với các tấn công, yêu cầu họ mua 50 đồng XMR (Monero), trị giá trên 15.000 USD.

Các cuộc tấn công phản hồi và khuếch đại không phải là mới. Hacker đã sử dụng các kỹ thuật tấn công DDoS để phản hồi các lỗ hổng trong DNS, NTP, SNMP, SSDP, CLDAP, Chargen và các giao thức khác nhằm tăng tốc độ tấn công trên mạng của họ.

Tuy nhiên, cách tấn công mới nhất đã tận dụng hàng nghìn máy chủ Memcached có cấu hình sai, rất nhiều trong số đó vẫn bị lộ trên Internet và có thể bị khai thác để khởi động các cuộc tấn công có khả năng lớn hơn.

Để ngăn chặn các máy chủ Memcached bị lạm dụng, Thehackernews khuyên người dùng cài đặt một tường lửa nên cung cấp quyền truy cập vào các máy chủ lưu trữ từ các mạng nội bộ.

Quản trị viên cũng nên xem xét tránh lưu lượng truy cập bên ngoài vào các cổng được sử dụng bởi memcached (ví dụ cổng 11211 được sử dụng mặc định), chặn hoặc giới hạn tốc độ UDP, hoặc vô hiệu hóa hoàn toàn UDP hỗ trợ nếu không sử dụng.

Theo TheHackerNews

Góc quảng cáo