مجرمان سایبری به فكر سوءاستفاده گسترده از سرورهای موسوم به Mencached افتاده‌اند كه 51000 بار قویتر از Ddos می‌باشد و در نهایت منجر به از كار انداختن شبكه‌های مهم و زیرساخت‌های اینترنتی می‌شود.

این روزها دست اندركاران امنیتی Cloudflare,Arbor,Network و شركت چینی Qihoo متوجه شده‌اند كه هكرها از Memcached استفاده‌های نابجایی می‌كنند تا حملات مربوط به Ddos را با استفاده از فاكتور بی‌نظیر 51،100 گسترش دهند.

Mencached یك سیستم باز است كه به راحتی سیستم ذخیره‌ای را بكار می‌گیرد وباعث می‌شود كه موارد در حافظه ذخیره شوند و بگونه‌ای طراحی شده كه با بسیاری از ارتباطات آزاد كاركند. سرور Mencached با مجرای D11211 یا TCP كار می‌كند.

اپلیكیشن Mencached برای پویایی با سرعت بالا شبكه طراحی شده است كه این امر با كاهش مجراها در پایگاه‌داده همراه است و به مدیران اجرایی كمك می كند كه عملكرد را افزایش بدهند،كاربرد شبكه را مقیاس گذاری نمایند. این مورد استفاده گسترده هزاران شبكه از جمله Reddit,YouTube,Github,Face book,Flicker,Twiter می باشد.

كپی Mencached توسط شركت C ای كه ظاهرا" از سرورهای بدون محافظ Mencached سوء استفاده نموده است دارای قابلیت UDP است و می‌تواند به حملات DDos بیانجامد كه 51،200 بازقویتر از اورجینال آن می‌باشد و آن را بعنوان یك روش تقویتی بسیار برجسته كه تابحال بطور معمول استفاده شده است بشمار می‌آورد.

چگونه یك حمله تقویتی Memcached DDos عمل می نماید.

شبیه دیگر روشهای تقویتی، زمانیكه هكرها درخواست‌های نا چیزی را از آدرس‌های هك شده می‌فرستند تا جواب بهتر و بیشتری را دریافت نمایند، حمله تقویتی Mencached هم با فرستادن درخواست تغلبی (دروغین) به سرورهای مورد هدف عمل می‌نماید(مثل سرور آسیب پذیرUDP)در روی مجرای 11211 از آدرس هك شده استفاده می‌كند و با IP قربانی هماهنگ می‌شود.

بنابر اظهارات محققین تنها چند بایت محدود از درخواست به طرف سرورهای آسیب پذیر فرستاده می‌شوند و می‌توانند بعنوان یك محرك جواب را تا ده هزار برابر بیشتر كند عمل می‌نماید. Cloudflare اظهار می‌دارد كه 15 بایت درخواست می‌تواند 134 كیلوبایت جواب را در بر داشته باشد. این عامل تقویتی 10،000X می باشد. در عمل ما شاهد درخواست 15 بایتی هستیم كه پاسخی 750 كیلوبایتی را در بر دارد.

بنابر اظهارات محققین بیشتر سرورهای Mencached بخاطرحملات تقویتی DDos مورد سوءاستفاده قرار میگیرند كه در OVH,Digital Ocean,Sakura  ودیگر اوپراتورهای (ارائه دهندگان)كوچك میزبانی شده است.شركت Cloudflare می‌گوید بطور كلی محققان شاهد 5729 منبع آدرس كامپیوتری شده‌اند كه مرتبط با سرورهای آسیب پذیر Mencached می‌باشند.اما آنها انتظار دارند كه شاهد حملات سایبری بیشتری در آینده باشند همانطوریكه Shodan گزارش می‌دهد 88000 سرور Mencached باز وجود دارند.

همچنین Cloudflare اظهار می‌دارد كه در نقطه اوج، ما شاهد 260Gbps حدود مشخصی UDP ترافیك در Mencached می‌باشیم.این برای تقویت بردار جدید(حجیم،فشرده)می‌باشد.اما آمار وارقام دروغ نمی‌گویند، این امر ممكن است زیرا تمامی بسترهای بازتابی بسیار حجیم و بزرگ می‌باشند.

شبكه Arbor خاطرنشان می‌كند جستجو و تحقیق اولیه كه در مورد این حمله صورت پذیرفته نشان می‌دهد كه می‌توان آن را در مجرای TCP11211 در مورد سرورهای Mencached كه مورد استفاده قرارگرفته‌اند بكار برد. اما TCPبر دادههای تقویتی انعكاسی پر خطر Mencached را جدی نمیگیرد زیرا تحقیقات و جستجوهای TCP نمی‌تواند بطور قابل اعتمادی مورد هك(حقه) قرار بگیرند. معروفیتی كه به نام تقویت DDos شناخته شده است برداده‌هایی كه از سیستم امنیتی موسوم به DNS برخوردارند حمله كند كه ظرفیت ترافیكی را تا 58 بار افزایش می‌دهد.

كاهش دادن: چگونه سرورهای Mencached را تثبیت نمائیم؟

یكی از سادهترین روشها كه سرورهای Mencachedرا در برابر سوء استفاده حفظ نمائیم استفاده از سیستمهای UDP  وFire wall محدود كننده در مجرای 11211 است.اززمانیكه Mencached در INADDRپذیرفته شده استوهمراه با تقویت UDP Mencached را میكند از طریق پیش فرض توانا شده است، به مدیران اجرایی پیشنهاد میگردد كه تقویت UDP را بی اثر نمایند اگر از آن استفاده نمیكنند.

میزان حمله بصورت بالقوه از طریق انعكاس Mencached نمی تواند به سادگی از طریق ISPs (ارائه دهندگان سرویس اینترنتی)تا زمانیكه هك IP از طریق اینترنت امكان پذیر است محافظت شود.