최근 Memcached 서버를 이용한 DRDoS 공격이 급격히 증가하였습니다. 얼마전 github가 받은 공격 역시 Memcached를 이용한 DDoS 공격이였습니다(▶ 자세히보기)
기업 보안 담당자 분들은 적절한 Memcached 설정으로, 공격자에 의해 악의적으로 이용되지 않도록 해야 합니다.
Memcached란?
Memcache란 메모리를 사용해 캐시서비스를 제공해주는 데몬으로 기업에서 대역폭을 효과적으로 사용하기 위하여 구축합니다.
Memcached DRDoS 원리
Memcached 반사 공격은 공용 네트워크 상에 공개되어 있는 대량의 Memcached 서버(분산식 캐시 시스템)에 존재하는 인증과 설계의 취약점을 이용하는 것입니다.
공격자는 memcached 서버 ip주소의 기본 포트인 11211번 포트로 희생자 IP주소로 위장된 특정 명령의 UDP 패킷(stats,set/get 명령 등)을 전송하면 memcached 서버가 희생자 IP로 원래 패킷보다 수배의 패킷(이론상으로는 5만배 까지 가능)을 반사하며 DRDoS 공격이 수행되게 됩니다.
Memcached DRDoS에 대해 더 자세히 알고싶으신 분들은 여기를 참고해 주시기 바랍니다.
조치방안
- Memcached를 로컬 인터페이스에서만 사용 가능하도록 바인드 합니다.
- memcached 서버 혹은 memcached가 있는 네트워크 상단에 방화벽을 설치하고 업무관련 IP만 memcached 서버에 접속하도록 허용합니다.
- memcached 서버의 리스닝 포트를 기본 포트인 11211이 아닌 다른 포트로 바꿔 악의적으로 이용되지 않도록 합니다.
- memcache를 최신 버전으로 업데이트 하고, SASL 을 사용하여 비밀번호 설정 및 권한을 제어합니다.
참고 :
https://www.cyberciti.biz/faq/secure-memcached-server-avoid-ddos-amplification/
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
인터넷 이메일 서버의 절반에 영향을 미치는 Exim 취약점(CVE-2018-6789) 발견! (0) | 2018.03.08 |
---|---|
200만 달러 상당의 강력한 비트코인 채굴 컴퓨터 600대, 아이슬란드에서 도난 당해 (0) | 2018.03.07 |
새로운 안드로이드 악성코드 RedDrop, 주변 오디오를 녹음하고 사용자 데이터 추출해 (0) | 2018.03.06 |
Github, 역사상 가장 큰 규모의 DDoS 공격을 받았다. (0) | 2018.03.05 |
모든 아이폰 모델들을 해킹하는 방법을 모바일포렌식회사가 발견해 (0) | 2018.03.01 |
댓글 영역