Memcrashed Và NTP DDOS Có Gì Giống Nhau

Thảo luận trong 'Dos/DDOS' bắt đầu bởi Nguyễn Hợp Quang, 04/03/18, 08:03 AM.

  1. Nguyễn Hợp Quang

    Nguyễn Hợp Quang New Member

    Tham gia: 04/03/18, 08:03 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Gần đây có xẩy ra một vụ ddos khá lớn sử dụng lỗ hổng trên memcacher nó được đặt tên là Memcrashed tuy có vẻ lớn nhưng cách thức tấn công thì khá cũ thực ra trước đây đã có một cách dùng NTP- network time protocol để ddos sập rất nhiều dịch vụ lớn trên thế giới. vậy chúng có gì giống nhau và tấn công ra sao?
    1: Phóng thoáng thái quá
    Trong cuộc tấn công vào phương thức NTP các hacker bằng cách lấy time trên server qua port 123 và ném cái server trả lời về cho victim khiến nó sập hoàn toàn trong khi server NTP kia cứ reply mà không check chính xác là thằng nào gửi nên trong cuộc tấn công Memcrashed nó cũng tương tự như vậy chỉ khách là hacker dùng port 11211
    2: phóng đại quá đà
    Trong NTP khi một dữ liệu được gửi đi có dung lượng là 1Gb thì bạn sẽ nhận về 1000Gb dữ liệu
    [​IMG]
    Trong Memcache thì khi bạn gửi 1Gb dữ liệu bạn sẽ nhận lại 51200Gb dữ liệu một con số khủng khiếp đánh bại mọi server

    [​IMG]
    Từ 2 yếu tố trên thì có thể thấy đây là một cách ddos hết sức nguy hiểm.
    Vậy làm thế nào để ddos được server có lỗi này???
    Nếu bạn thích dùng metasploit thì đây là những gì dành cho bạn
    Ubuntu 16.04:
    apt-get install memcached
    sed -i 's/-l 127.0.0.1/#-l 127.0.0.1/g' /etc/memcached.conf
    /etc/init.d/memcached restart

    CentOS 7:

    yum -y install memcached
    systemctl start memcached # Listens on 0.0.0.0 by default

    Run the module:

    msf5 > use auxiliary/scanner/memcached/memcached_amp
    msf5 auxiliary(scanner/memcached/memcached_amp) > set RHOSTS 192.168.2.114 192.168.2.115
    RHOSTS => 192.168.2.114 192.168.2.115
    msf5 auxiliary(scanner/memcached/memcached_amp) > run
    [*] Sending Memcached stats probes to 192.168.2.114->192.168.2.115 (2 hosts)
    [+] 192.168.2.114:11211 - Response is 781 bytes [52.07x Amplification]
    [+] 192.168.2.115:11211 - Response is 1182 bytes [78.8x Amplification]
    [*] Scanned 2 of 2 hosts (100% complete)
    [*] Auxiliary module execution completed

    Tóm cái váy đoạn loằng ngoằng trên là nó sẽ scan xem IP nào mở port 11211 và sau đó gọi quân tới nhử mồi chỉ cần 1 request rất nhỏ thôi cũng đủ cho bạn sập tiệm
    Còn bao nhiêu server có thể ddos phát sập luôn thì coi ở đây nè
    https://www.shodan.io/search?query=11211
    Vậy fix nó như thế nào?
    Đơn giản bản chỉ cần để port 11211 listen cái IP 127.0.0.1 là song dịch vụ memcache vẫn chạy như thường nhưng chả ai ddos được bạn đâu[​IMG]
    Đầu tiên các bạn mở fiel cấu hình của memcahe ra tại /etc/sysconfig/memcached các bạn sẽ thấy cái nội dung như sau:
    PORT="11211"
    USER="memcached"
    MAXCONN="1024"
    CACHESIZE="64"
    OPTIONS=""


    Tiến hành sửa thành

    PORT="11211"

    USER="memcached"

    MAXCONN="1024"

    CACHESIZE="64"

    OPTIONS="-l 127.0.0.1"
    -l 127.0.0.1 là chi cho nó lắng nghe từ 1 ip 127.0.0.1
    Tiến hành restart lại memcache hoặc reboot lại server :v là khỏe re :)

    Nguồn : https://anonymousvn.org/memcrashed-va-ntp-ddos-co-gi-giong-nhau.hav
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan