محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

MemcacheD چیست؟ معرفی حمله DDoS مبتنی بر MemCached

قبلا در توسینسو در خصوص نرم افزار memcached بصورت مفصل صحبت کردیم . اما جالبه بدونید که بر اساس همین سرورهایی که از نرم افزار memcached استفاده می کنن یه سری حملات DDoS قابل انجام هست که امروز میخایم در مورد اونها صحبت کنیم . وقتی در مورد memcached DDoS صحبت می کنیم در واقع یک نوع حمله سایبری رو داریم به شما معرفی می کنیم که مکانیزمش Overload کردن یا خفه کردن سرور قربانی با ترافیک اینترنتی واقعی اما وحشتناک زیاد هست .

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
  1. مکانزیم کاری حمله memcached DDoS

در این نوع حمله مهاجم درخواست های خودش رو در اصطلاح Spoof یا جعل می کنه و از طریق ارسال درخواست ها به سرورهای Memcached ای که آسیب پذیری دارن ، طوفانی از ترافیک اینترنتی رو به سمت سرور قربانی هدایت می کنه که منابع رم و CPU سرور هدف رو واقعا نابود می کنه . با هدر رفتن منابع RAM و CPU سرور قربانی ، عملا این سرور دیگه نمی تونه به درخواست های واقعی کاربراش پاسخ درستی بده و از مدار خارج میشه یا نتیجش میشه حمله Denial Of Service یعنی دیگه قادر به سرویس دهی نیست .

معرفی حمله DDOS از نوع memcached

مکانزیم کاری حمله memcached DDoS

مکانیزم کاری حمله memcached تقریبا شبیه حملات DDoS از نوع Amplification یا تقویتی هست که در ادامه این سری مطلب متوجه میشید که ما حملات DDoS ای به نام NTP Amplification و DNS Amplification هم داریم که ساختار شبیه به همین حمله رو دارند. توی اینجور حملات به زبان ساده هکر یا همون مهاجم از طریق Botnet ای که در اختیار داره بسته های درخواستی مثلا به انداز 10 کیلوبایت برای سرورهای آسیب پذیر memcached ارسال می کنه و دستور میده که این سرورها به اهداف قربانیشون با بسته هایی به اندازه مثلا 100 هزار کیلوبایت یا خیلی بیشتر حمله کنن که این فرآیند در اصطلاح به عنوان Amplification یا تقویت کردن بسته ها معروف هست . اینکار باعث میشه حجم عظیمی از داده های ترافیکی یکباره به سمت سرور قربانی از طریق سرورهای memcached آسیب پذیر که از یک بات نت با آدرس های جعلی ارسال شده هدایت بشه .

وب سایت کلاودفلیر ( CloudFlare ) یک مثال جالب و بامزه برای تعریف کردن حملات Amplification به ویژه memcached داره که میگه فرض کنید که شما یک رستوران دارید و یک نفر به رستوران شما زنگ میزنه و میگه از هر چیزی که توی منوی رستورانتون هست یک تا چند تا سفارش دارم که میخام برام بفرستید ، شما قبول می کنید و از طرف شماره تلفنش رو برای پیگیری و پرداخت میگیرید و طرف به جای اینکه به شما شماره تلفن خودش رو بده شماره تلفن اون فرد قربانی رو میده ! حالا شما به عنوان صاحب رستوران زنگ میزنید برای یک شخصیتی که خودش اصلا در جریان نیست شروع می کنید کل مواردیکه در منوی رستوران شما وجود داره رو توضیح میدید در صورتیکه اصلا طرف چنین درخواستی نداشته و مات و مبهوت شما رو فقط نگاه می کنه و خط تلفش و زمانش اشغال میشه و به کارهای دیگش نمیرسه .

اما شاید این سوال براتون پیش بیاد که مگه این فرآیند چجوری انجام میشه که سرور memcached متوجه نمیشه که ازش داره سوء استفاده میشه ؟ نکته اینجاست که اصلا ماهیت چنین حمله ای این هست که سرورهای memcached از پروتکل UDP پشتیبانی می کنن و این یعنی زمانیکه داده ها رو دریافت و یا میخان ارسال کنن فرآیند TCP Handshake رو ندارند و این باعث میشه شبکه بصورت خودکار شروع به انجام کاری که بهش درخواست شده بکنه و از دیگران تاییدیه ای در این خصوص نخاد . و وقتی UDP اطلاعات ارسال میشه یعنی اینکه اصلا برای سرور memcached هم مهم نیست اطلاعات رسیده یا نرسیده و پشت سر هم داده ها و ترافیک رو بدون تاییدیه برای سرور قربانی ارسال می کنه . توی مطلب بعدی در خصوص مراحل چهارگانه انجام حمله memcached صحبت می کنیم و البته میگیم که این حمله ممکنه چقدر بزرگ و خطرناک باشه . اگر نظری در خصوص این مطلب دارید خوشحال میشیم در ادامه مطرح کنید .


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات