Memcrashed Và NTP DDOS Có Gì Giống Nhau

Gần đây có xẩy ra một vụ ddos khá lớn sử dụng lỗ hổng trên memcacher nó được đặt tên là Memcrashed tuy có vẻ lớn nhưng cách thức tấn công thì khá cũ thực ra trước đây đã có một cách dùng NTP- network time protocol để ddos sập rất nhiều dịch vụ lớn trên thế giới. vậy chúng có gì giống nhau và tấn công ra sao?
1: Phóng thoáng thái quá
Trong cuộc tấn công vào phương thức NTP các hacker bằng cách lấy time trên server qua port 123 và ném cái server trả lời về cho victim khiến nó sập hoàn toàn trong khi server NTP kia cứ reply mà không check chính xác là thằng nào gửi nên trong cuộc tấn công Memcrashed nó cũng tương tự như vậy chỉ khách là hacker dùng port 11211
2: phóng đại quá đà
Trong NTP khi một dữ liệu được gửi đi có dung lượng là 1Gb thì bạn sẽ nhận về 1000Gb dữ liệu

Trong Memcache thì khi bạn gửi 1Gb dữ liệu bạn sẽ nhận lại 51200Gb dữ liệu một con số khủng khiếp đánh bại mọi server


Từ 2 yếu tố trên thì có thể thấy đây là một cách ddos hết sức nguy hiểm.
Vậy làm thế nào để ddos được server có lỗi này???
Nếu bạn thích dùng metasploit thì đây là những gì dành cho bạn
Ubuntu 16.04:
apt-get install memcached
sed -i 's/-l 127.0.0.1/#-l 127.0.0.1/g' /etc/memcached.conf
/etc/init.d/memcached restart

CentOS 7:

yum -y install memcached
systemctl start memcached # Listens on 0.0.0.0 by default

Run the module:

msf5 > use auxiliary/scanner/memcached/memcached_amp
msf5 auxiliary(scanner/memcached/memcached_amp) > set RHOSTS 192.168.2.114 192.168.2.115
RHOSTS => 192.168.2.114 192.168.2.115
msf5 auxiliary(scanner/memcached/memcached_amp) > run
[*] Sending Memcached stats probes to 192.168.2.114->192.168.2.115 (2 hosts)
[+] 192.168.2.114:11211 - Response is 781 bytes [52.07x Amplification]
[+] 192.168.2.115:11211 - Response is 1182 bytes [78.8x Amplification]
[*] Scanned 2 of 2 hosts (100% complete)
[*] Auxiliary module execution completed

Tóm cái váy đoạn loằng ngoằng trên là nó sẽ scan xem IP nào mở port 11211 và sau đó gọi quân tới nhử mồi chỉ cần 1 request rất nhỏ thôi cũng đủ cho bạn sập tiệm
Còn bao nhiêu server có thể ddos phát sập luôn thì coi ở đây nè
https://www.shodan.io/search?query=11211
Vậy fix nó như thế nào?
Đơn giản bản chỉ cần để port 11211 listen cái IP 127.0.0.1 là song dịch vụ memcache vẫn chạy như thường nhưng chả ai ddos được bạn đâu
Đầu tiên các bạn mở fiel cấu hình của memcahe ra tại /etc/sysconfig/memcached các bạn sẽ thấy cái nội dung như sau:
PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS=""


Tiến hành sửa thành

PORT="11211"

USER="memcached"

MAXCONN="1024"

CACHESIZE="64"

OPTIONS="-l 127.0.0.1"
-l 127.0.0.1 là chi cho nó lắng nghe từ 1 ip 127.0.0.1
Tiến hành restart lại memcache hoặc reboot lại server :v là khỏe re

Nguồn : https://anonymousvn.org/memcrashed-va-ntp-ddos-co-gi-giong-nhau.hav