محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

معرفی 4 روش مقابله با حملات DDoS از نوع MemCached به زبان ساده

خوب در مطالب قبلیمون در جزیره امنیت توسینسو به معرفی ماهیت memcached و البته حملات DDoS مبتنی بر memcached پرداختیم و امروز قرار هست در ادامه همین سری مطالب در خصوص روش های مقابله با این نوع حمله DDoS صحبت کنیم . طبیعی هست که روش تضمینی برای کاهش قطعی هیچ حمله ای وجود نداره ولی با انجام این مراحل شما می تونید درصد احتمال بروز حمله رو کاهش بدید :

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
  1. روش اول = غیرفعال کردن پروتکل UDP : گفتیم که memcached DDoS از ضعف پروتکل UDP سرورها استفاده می کنه ، پس اگر شما به این پروتکل نیازی ندارید می تونید روی سرورهای memcached ای که دارید یا روی سرور خودتون این پروتکل و نحوه پاسخگویی رو به کلی غیرفعال کنید . در واقع وقتی روی memcached سرور شما پروتکل UDP فعال باشه بصورت خودکار این سرور آسیب پذیر محسوب میشه .
  2. روش دوم = استفاده از فایروال در سرورهای memcached : بیشتر حملاتی که از طریق سرورهای memcached انجام میشن به خاطر این هست که سرور در لبه اینترنت هست و پشت فایروال قرار نگرفته ، اگر بتونید سرورهای memcached ای که دارید رو پشت فایروال ببرید و بتونید ورود و خروج ترافیک UDP رو مدیریت کنید مدیر شبکه خودش می تونه تا حدودی درصد انجام حملات رو کاهش بده .
  3. روش سوم = جلوگیری از جعل IP یا IP Spoofing : تا زمانیکه جعل کردن آدرس IP ممکن هست ، حملات DDoS هم قابل انجام هستن و امکان ارسال کردن بسته های Amplify همیشه هست ... جلوگیری از IP Spoofing چیزی نیست که یه آدم عادی بتونه جلوش رو بگیره به عنوان مدیر شبکه و باید در سطح کلان دیده بشه برای مثال ISP ها و ICP ها می تونن محدوده آدرس هایی که دارند رو بررسی کنن و ترافیکی که از مبدا خودشون با آدرس مبدا جعلی داره ارسال میشه رو بلاک کنن ، البته اینکار معمولا به ندرت در جاهای مختلف دنیا اجرایی میشه ولی به هر حال می تونه در سطح کلان بسیار برای شبکه ها مفید باشه و نزاره کسی IP جعل کنه .
  4. روش چهارم = نوشتن نرم افزاری برای کاهش پاسخ های UDP : اما یه روش هم وجود داره که شما اجازه ندید از سرورهای memcached شما سوء استفاده بشه که البته باید بصورت نرم افزاری نوشته بشه روی سرور یا application شما ، طبق مکانیزم کاری amplification ای که در این حمله وجود داره اگر شما بتونید ابزاری بنویسید که درخواست های UDP رو وقتی دریافت می کنه و میخاد ارسال کنه جلوی amplification اش رو بگیره رسما جلوی حمله رو گرفتید . اندازه بسته ورودی برابر اندازه بسته خروجی باشه مشکلات تا حدود زیادی حل میشه

این مواردیکه برای جلوگیری از حملات memcached خدمت شما دوستان عرض کردیم در واقع راهکارهای امن سازی سرورهای memcached هست ، اگر شما هدف حمله باشید عملا کار خاصی نمی تونید انجام بدید برای دفاع از خودتون مگراینکه برید پشت سرویس های CDN و Cloud ای که سرویس های ضد DDoS رو ارائه میدن ... امیدوارم مورد توجه شما قرار گرفته باشه اگر نظری دارید در ادامه مطرح کنید با تشکر


محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات