Memcached DDOS Saldırıları

Memcached DDOS saldırıları kurbanın internet trafiğini kullanarak gerçekleştirdiği tehlikeli bir DDOS saldırısıdır. Saldırgan güvenlik zafiyeti bulunan bir UDP memcached sunucusuna yapılan istekleri kullanarak hedefine yoğun bir trafik gönderir. Bu noktada kurbanın internet trafiği kullanarak hedef sistemde yoğunluk oluşturulur ve hizmet reddi gerçekleştirilir.

Hedef sistemin internet altyapısı aşırı şekilde yüklenildiğinde işlemez hale gelir ve gerçek trafiğe cevap veremez. Bu noktada siber saldırgan hizmet reddi saldrıısı ile amacına ulaşmış olacaktır.

Memcached aslında web sitelerini ve ağ trafiğini hızlandırmak ve sunucu yükünü rahatlatmak için kullanılan önbellek sistemidir.

Memcached Saldırısı Nasıl Yapılır?

Memcached saldırıları NTP amplifikasyonu veyahut DNS amplifikasyonu teknikleri ile yapılmaktadır. Diğer DDOS türlerine benzer bir şekilde işlemektedir.

Saldırı tekniği güvenlik zafiyeti bulunan bir memcached sunucusuna sahte istekler göndererek başlatılır. Bu saldırıdaki amaç, ilk istekten daha büyük miktarda veri yanıtı alınarak trafik hacmini büyütmektir.

Memcached sunucuları UDP protokolünü kullanarak çalışma yeteneğine sahiptir. Hızlı yanıt verir ve kimlik doğrulaması gerçekleşmez. UDP her iki tarafında iletişimi kabul ettiği bir ağ sürecidir ve üçlü el sıkışmaya ihtiyaç duyulmaz. Verilen cevap ise alınan cevaptan kat ve kat büyük olduğu için, paket headerinde sahte ip kullanıldığında sunucu cevabı hedeflenen sisteme gönderir. Bu noktada yükseltme tekniği uygulanmış olacaktır.

Memcached Saldırı Adımları Nelerdir?

1. Siber saldırgan zafiyet bulunan bir memcached sunucusuna büyük miktarda veri gönderir.
2. Saldırgan hedeflenen kurbanın ip adresiyle bir http GET isteğini taklit eder.
3. Memcached sunucusu ise yanıt vererek alınan istekten kat ve kat büyük bir miktarda veri gönderir.
4. Hedeflenen sunucu memcached sunucusundan gönderilen büyük veriyi karşılayamaz ve sistemde aşırı yük oluşur. Devamında ise hedeflenen sunucu cevapları işleyemeyecak kadar yoğun bir trafik aldığı için hizmet reddi saldırısı gerçeklemiş olur.

Memcached Saldırısı ile Ne Kadar Yükseltme Yapılabilir?

Bu tür bir saldırının büyütme veya katlama gücü şaşırtıcı derecede büyük olabilir. Cloudflare’nin raporlarına göre 51.000 kata kadar muazzam bir büyütmeye sahip olabilmektedirler.

Bu durumda 15 baytlık bir veri paketi ile 750 kB’lık bir yanıt alabileceğiniz anlamına gelir. Siber saldırgan bu noktada muazzam bir güce sahip olur. Savunmasız ve zafiyetli birçok memcached sunucusu kullanılarak devasa miktarda veri paketleri pratikte karşı sunuculara gönderilmektedir. Doğal olarak da DDOS saldırılarında savunmasız memcached sunucularını hedef haline getirmektedir.

Memcached Saldırılarına Karşı Savunma Nasıl Yapılır?

Muazzam miktarda veri gönderebilen memcached sunucularına karşı bazı hafifletme teknikleri kullanılmaktadır.

Öncelikle UDP’yi devre dışı bırakmak en önemli adımlardan biri olacaktır. Varsayılan olarak aktif gelen UDP bağlantısı desteği sunucunuzun bu tip saldırılarsa savunmasız kalmasına neden olabilir.

Bir diğer hafifletme önlemi ise güvenlik duvarıdır. Ayrıca IP Spoof’u önleyerek bu saldırıları azaltabilirsiniz. IP sahtekarlıklarını önlemek ağ dışından gelen DDOS trafiğini önlemede öncelikli olarak tercih edilir. Birçok ISS şirketi Spoof IP özelliğini kapatmaktadır. Başka bir deyişle ISS’ler, kurumlar ve büyük şirketler ağlarından çıkan trafiğin farklı bir yerden geliyormuş gibi davranmasını önlemeye çalışırlar.

Amplifikasyon saldırılarını ortadan kaldırmanın bir diğer yolu da gelen herhangi bir talebe yönelik artırma faktörünü devre dışı bırakmaktır. Gelen veri paketine verilen cevap çok daha küçükse veyahut eşitse büyütme faktörü ortadan kalmış demektir.