Cómo prevenir ataques de amplificación DdoS utilizando memcached

Extracto de BAEHOST Blog

Memcached es un sistema de almacenamiento en caché de objetos de memoria distribuida de alto rendimiento, diseñado para almacenar y entregar objetos de datos a través de la red a velocidades increíbles. Está destinado a acelerar en gran medida las aplicaciones web y de bases de datos, y por ende, generalmente se implementa en redes internas y restringidas. En su configuración por defecto, memcached también atiende solicitudes sobre el protocolo UDP, sin ningún tipo de autenticación o verificación de las direcciones de origen.

Esto significa que, cuando se expone a Internet pública, un servidor memcached con configuración predeterminada permite a los atacantes almacenar objetos grandes en él y luego falsificar las solicitudes de las direcciones IP de las víctimas, logrando un gran factor de amplificación para los ataques de denegación de servicio distribuido (DDoS).

A continuación, te brindamos información para que puedas prevenir ataques de amplificación DsoS y algunas resoluciones para los posibles inconvenientes que puedan surgir.

Por ejemplo:

  • memcached se está utilizando en ataques de amplificación DDoS.
  • Preocupan las noticias de ataques DDoS con memcached.

 

Red Hat es consciente de los ataques de amplificación DDoS (Distributed Denial of Service) que se realizan mediante la explotación de servidores de memcached expuestos en Internet. Estos ataques aprovechan el protocolo de comunicación UDP que utiliza memcached. El ataque es efectivo debido al amplio ratio de amplificación; una solicitud con un tamaño de unos pocos cientos de bytes puede generar una respuesta de algunos megabytes o de cientos de ellos.

Debería parecer muy raro para un servicio como memcached necesitar estar expuesto a Internet pública. Tal exposición puede tener sus problemas de seguridad, permitiendo a los atacantes remotos filtrar o modificar la información almacenada en memcached.

Configuración predeterminada de memcached en los productos de Red Hat

Los paquetes de memcached que se incluyen con Red Hat Enterprise Linux 6 y 7 usan la siguiente configuración predeterminada:

  • memcached escucha en todas las interfaces de red.
  • Tanto TCP y UDP se encuentran habilitados.
  • No se requiere autenticación para acceder a memcached.
  • El servicio no se habilita automáticamente después de la instalación del paquete; esto puede ser habilitado manualmente o ser iniciado por el administrador del sistema.
  • La configuración por defecto del firewall no permite el acceso remoto a memcached.

Se pueden realizar las siguientes acciones para proteger las instalaciones de memcached y evitar su uso en ataques DDoS.

Configurar el firewall:

Configure el firewall para garantizar que su servicio memcached solo sea accesible desde los hosts confiables que requieren acceso al servicio. Bloquee todo el acceso al servicio desde Internet público.
El puerto predeterminado utilizado por memcached es 11211, tanto TCP como UDP.

Deshabilitar UDP:

Si la implementación de memcached no depende del uso del protocolo de transporte UDP, desactive las conexiones a través de UDP y solo permita las conexiones TCP. Esta restricción se puede implementar configurando el firewall como se indicó anteriormente, o configurando memcached para que no escuche en el puerto UDP.

Si memcached se inicia con la opción “-U 0”, no escuchará en el puerto UDP. Esta configuración puede se……


Autor Adrian Vernazza
Lee la nota completa en BAEHOST Blog

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top