Memcached som DDoS-förstärkare

Rapid7 memcached servers

För ett tag sedan så rapporterade Rapid7 samt CloudFlare att cache-tjänsten memcached används för att utföra överbelastningsattacker. Genom att skicka en kort UDP-förfrågan till port 11211 så returneras ett längre svar. Och eftersom det är UDP så kan källan förfalskas.

Jag testar på en egen server som lyssnar till localhost på UDP samt TCP port 11211:

echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -q1 -u 127.0.0.1 11211

Och får då ett relativt långt svar tillbaka gällande statistiken för memcached. När jag testar att skapa en stor nyckel med SET och sedan hämta den med GET på 14 bytes så får jag ett svar på cirka 750kB. Vilket är en amplifieringsfaktor på cirka 51,200 gånger.

❤ Stöd mitt bloggande via Patreon >

Läser jag på mer om memcached så finns det även en odokumenterad funktion som heter  stats cachedump. Denna kan returnera 1 eller 2 MB data från memcache-indexet men behöver hitta rätt slabs_id vilket är 2 i detta fall:

stats cachedump 2 0 0

Källa och bildcredd: Rapid7, CloudFlare

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

One comment

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Denna webbplats använder Akismet för att förhindra skräppost. Läs mer om hur dina kommentarsuppgifter behandlas.