หลังจากที่ Attacker ใช้งาน DNS Amplification สำหรับการโจมตี DDoS ในช่วง 2-3 ปีที่ผ่านมา ล่าสุดเริ่มมีการใช้งาน Memcached server เพื่อเป็นแหล่งสำหรับการสร้าง traffic เพื่อทำการ DDoS แทนแล้ว

การใช้งาน Memcached ในการโจมตีเครื่องอื่นๆนั้นได้ผลตอบรับของ traffic สูงถึง 51,200 เท่าจากขนาดการส่งข้อมูลของ Hacker

Cloudflare, Arbor Network ละ Qihoo 360 ได้พบว่า hacker เริ่มทำการโจมตีด้วย Memcached server ดังกล่าวเพื่อขยาย traffic ที่ใช้สำหรับการโจมตี DDoS โดย Memcached นั้นเป็น open source สำหรับการทำ caching แบบ distributed ทำให้สามารถเก็บ object ไว้ใน memory ได้ และ Memcached นั้นถูกออกแบบเพื่อให้สามารถรับ connection ได้จำนวนมาก โดย Memcached server จะทำงานอยู่ที่  TCP หรือ UDP port 11211.

ตัว Memcached นั้นก็เหมือน server ตัวอื่นๆที่ถูกนำมาใช้การโจมตี DDoS แบบ amplification methods (หมายถึงการ request ไปยัง service ดังกล่าวด้วยขนาดของ packet น้อยๆ แต่ตัว Memcached จะตอบกลับมาด้วย traffic ขนาดใหญ่กว่าตอนส่งหลายเท่าตัว ซึ่งในที่นี้คือ 51,200 เท่า) เช่น ส่งไปเพียง 15 bytes แต่ตอบกลับมาถึง  750 KB เป็นต้น

โดย CloudFlare ได้ลองหาข้อมูลดูพบว่า ณ​ ตอนนี้มี​ Memcached server ถึง 5729 IP ที่มีการ response ด้วยขนาดใหญ่ขนาดนั้น โดยการที่เกิดขึ้นแบบนั้นเกิดจากที่ Memcached server นั้นมีการ set configuration ที่ผิดพลาด

วิธีการป้องกัน Memcached server

วิธีที่ดีสุดในการป้องกันคือการตั้ง Firewall กันหรือ block traffic หรือทำ rate-limiting UDP ที่ใช้ไปยัง UDP:11211 หรือหากไม่ต้องใช้ก็ทำการ disable support UDP ไปเลย
Source:: TheHackerNews