Archivi categoria: ddos

Trovato il modo per fermare il DDoS di memcached

Facebooktwittergoogle_plusredditlinkedin

Sicuramente, se avete tra i sistemi che gestite un memcached, questa non può che essere un’ottima notizia.

Per chi non lo conoscesse, memcached è un sistema di caching in RAM ad oggetti, utilizzato prevalentemente per l’accelerazione del caricamento di siti web, anche se in realtà può essere utilizzato per tantissime altre cose.

Tutto è nato ad inizio Marzo, quando gli amministratori di sistema di GitHub hanno dovuto gestire il più grande attacco DDoS (Distributed Denial of Service) della storia: 1,35Tbps di traffico di picco, seguiti da un’altro picco a 400Gbps, e poi diversi altri.

Ma da cosa era stato generato tutto questo traffico? Da diversi memcached aperti su internet, con il protocollo UDP abilitato. Inviando un pacchetto creato ad-hoc si poteva “ingannare” questi memcached e forzarli a chiamare insistentemente un indirizzo bersaglio, con una ratio di 1:50000 (1 pacchetto udp ricevuto si trasformava in 50000 chiamate effettuate dai memcached).

Fortunatamente Corero, azienda che si occupa di soluzioni, prodotti e servizi per mitigare e contrastare attacchi di tipo DDoS, ha trovato un modo affinché il server attaccato “resetti” i memcached attaccanti, bloccando il flusso di chiamate. L’azienda ha affermato di aver testato il metodo su reali server che stavano eseguendo il flood, e che la sua soluzione funziona al 100%, e senza effetti collaterali.

Il problema è quindi risolto. Nel frattempo è stata aperta la CVE-2018-1000115 per la versione 1.5.5, e gli sviluppatori di memcached hanno già rilasciato la 1.5.6 che risolve il problema disabilitando il protocollo UDP di default, richiedendo una configurazione specifica per riattivarlo.

Aggiornate quindi gente, perché purtroppo tool per lanciare gli attacchi sono facilmente disponibili online, come su Pastebin ed – ironia della sorte – su GitHub stesso.

Cloudflare: nessun costo aggiuntivo per attacchi DDoS “fuori scala”

Facebooktwittergoogle_plusredditlinkedin

Cloudflare, nessun costo aggiuntivo per attacchi DDoS fuori scala

Cloudflare è un noto provider statunitense che tra i tanti servizi in portfolio offre anche protezione dagli attacchi DDoS. Nell’ultima settimana di Settembre l’azienda ha deciso di modificare i listini introducendo un metodo di tariffazione non vincolato, come la maggior parte delle soluzioni presenti sul mercato, all’intensità dell’attacco da bloccare/mitigare.

No matter how large of an attack you receive, no matter your plan — whether it’s a free plan or a high-end plan — we won’t charge you more. We guarantee that your price will never go up

ha affermato il CEO Matthew Prince.

Tra il 2013 ed il 2015 l’intesità degli attacchi è cresciuta notevolamente, confermano vari studi, passando da 300 a 500Gbps. Fronteggiare un afflusso di dati “spazzatura” (junk) di grandi dimensioni è impegnativo e “stressante” per l’infrastuttura dei provider che preferiscono ridurre tali situazioni ponendo un limite al livello di protezione offerta – rappresentato dai costi aggiuntivi da pagare.

L’attacco record (620 Gbps) che a Settembre 2016 colpì il blog Krebs On Security costrinse il giornalista e proprietario del sito a rimanere offline per diversi giorni perchè impossibilitato a pagare la quota aggiuntiva richiesta da Akamai – la quale aveva fino a quel momento offerto gratuitamente un servizio di protezione dagli attacchi ma preferì ritirarsi per “tutelare gli altri clienti paganti”.

In occasione dell’annuncio, Prince ha criticato “indirettamente” il comportamento dei competitor ponendo sullo stesso piano gli attacchi DDoS e le spese extra per la protezione :

There’s not much difference if the extortion is coming from your attacker or coming from your vendor.

Un network in espansione

L’estensione della “protezione illimitata” ad ogni categoria di utente (pagante e non) è stato possibile grazie all’ampliamento ed al livello di maturità raggiunto dall’infrastruttura Cloudflare che gestisce mensilmente 10 bilioni di richieste, tocca 117 città ed è in grado di sostenere (sulla carta) attacchi da 15 Tbps (l’attacco indirizzato al provider DNS DYN era di circa 1Tbps).

Il CEO è convinto che la mossa di Cloudflare sarà in grado di cambiare il settore e che presto i servizi di protezione illimitata saranno la normalità. Prince auspica ancora più ottimisticamente di far dimenticare agli utenti il problema degli attacchi DDoS che finiranno con l’essere “ordinaria amministrazione”, come i messaggi di spam:

We’ll have an opportunity to make DDoS attacks go the way of spam email. We’ll make it something you don’t have to think about much anymore

Fonte: 1