Nos últimos dias, uma nova técnica de ampliação da distribuição dos ataques de serviço negado (DDoS), trouxe um potencial ainda maior de estrago para ataques desse tipo. De acordo com a Trend Micro a técnica denominada memcache apareceu com bastante potência. O memcache é um protocolo usado para permitir o rápido armazenamento e recuperação de dados de um servidor, sem toda a complicada sobrecarga de um banco de dados no back-end. No entanto, isso se mostrou uma ótima fonte para os hackers ampliarem a gravidade de ataque do DDoS.
Nos últimos dias, a Cloudflare e a Github se tornaram as primeiras vítimas deste novo método de ampliação do DDoS. No caso da Github, a rede de telemetria de Akamai indicou que pelo menos uma onda do ataque atingiu mais de 1.35Tbps de entrada em seus servidores.
De acordo com a Trend Micro, parte deste tráfego não é realmente só um tráfego de ataque, mas também a sobrecarga adicional de redes (tentativas de handshaking, etc.) que, no fim das contas, ainda pode comprometer bastante o desempenho. Para contextualizar isso, de acordo com Akamai SIRT, este ataque foi duas vezes maior do que os ataques do Mirai em setembro de 2016.
Para usar o memcache, uma senha é enviada e o memcache responde com os dados associados a essa senha. Uma das vantagens é a capacidade de fazer solicitações ilimitadas em um único pedido.
Nos ataques recentes, os cibercriminosos fizeram solicitações de GETS no serviço do memcache para capturar todos os dados que pudessem com as senhas existentes. Mas, em muitos casos, os servidores memcached não estão protegidos e também permitem comandos de SET. Os criminosos podem usar isso para definir uma senha para o máximo permitido de conjuntos de dados e então fazer uma solicitação de GETS para essa senha específica para maximizar a extensão de seu ataque de reflexão contra a vítima.
Enquanto o memcache pode ser instalado tanto no TCP (de forma nativa) como no UDP, esses ataques serão primeiramente encontrados na UDP 11211. Isso porque o protocolo UDP permite falsificar o endereço de origem de forma muito mais fácil, o que o torna mais atraente para os ataques de reflexão DDoS.
De acordo com a Shodan, dos 120.458 (no momento em que este texto foi escrito) servidores de memcache ao redor do mundo, menos de 10 mil servidores usam o memcache no UDP. É interessante notar que quase um terço de tais servidores já observaram ataques ativos.
Um dos principais fatores que tornam a amplificação do memcache tão atrativa tem a ver com a resposta com o conjunto de dados. De modo geral, o número máximo de bytes destes dados é relativamente pequeno, mas em alguns provedores de hospedagem a configuração do memcache permite conjuntos de dados muito maiores (em alguns casos acima de 100G), assim aumentando o lucro com o ataque de ampliação de DDoS.
Ainda, segundo a Trend Micro, existem diversas ressalvas quanto às dimensões que esses ataques podem chegar. Em primeiro lugar, eles são limitados pelos links anexados ao servidor memcache usado para refletir o ataque. Um link de 1Gbps só vai enviar 1Gbps, não importa o tamanho do conjunto de dados criado pelo ataque.
E o mesmo ocorre para a placa de rede. Por fim, o protocolo só permite dois números de sequência de rede de oito bytes (o conjunto de dados precisa ser dividido em parte para serem enviados pela Internet). A numeração da sequência permite que o destino saiba como montar o quebra-cabeça.
Com apenas dois bytes, o número máximo de pacotes que o protocolo pode enviar é de 65.536. Em outras palavras, a solicitação/GETS pode ser muito grande, mas é restringida pelas limitações do sequenciamento de pacotes. Isso também nos faz questionar, como o memcache lida com os pacotes de dados que requerem um sequenciamento maior do que o padrão. O tratamento desses pacotes não parece ser especificado no protocolo.
Conclusões e boas práticas
Apesar de ainda ser cedo para entender todo o potencial técnico deste novo vetor de ataque, até mesmo com ataques de ampliação de NDP, SSDP e DNS, a Trend Micro não constatou uma invasão constante de ataques de DDoS em grande escala e é improvável que isso ocorra com o memcache. No entanto, poderá existir um aumento no tamanho dos ataques de DDoS.
