Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных серверов Memcached. Метод атаки с использованием усилителя трафика основа на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики (команда STAT), размер пакетов с которой во много раз могут превышать размер исходного запроса. Второй вариант заключается в загрузке в кэш большого блока данных с последующей отправкой с поддельного адреса жертвы запросов на загрузку этих данных (команда GET).
В случае Memecached, размер запроса составляет 15 байт, а ответ может включать сотни килобайт данных. В одной из изученных атак средний размер ответа составил 150 КБ (усиление в 9000-10000 раз). Наибольший зафиксированный в атаках размер ответа составил 750 КБ. В зависимости от сервера коэффициент усиления трафика может достигать 10-50 тысяч, что является абсолютным рекордом среди методов усиления атак. Для сравнения коэффициент усиления трафика для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SSDP - 20, SNMPv2 - 6.
Опасность представляют некорректно настроенные серверы, в которых Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию и расчитан на прикрепление к внутреннему сетевому порту или ограничение досутупа на уровне межсетевого экрана, что позволяет любому обратиться к незащищённому хранилищу Memcached, а поддержка протокола UDP даёт возможность подделать обратный адрес, на который будет отправлен ответ. По предварительной оценке (https://www.shodan.io/report/N7ttll7J) в сети насчитывается 93 тысячи общедоступных серверов Memcached.
Всем администраторам рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром. При установке из пакетов в Ubuntu 16.04 по умолчанию memcached привязывается к localhost, но при установке из пакета в CentOS 7.4 осуществляется привязка ко всем имеющимся сетевым интерфейсам. Разработчики Memcached оперативно выпустили (https://github.com/memcached/memcached/wiki/ReleaseNotes156) обновление 1.5.6, в котором по умолчанию отключили привязку к UDP-порту, что может нарушить работу завязанных на UDP систем после проведения обновления, если явно не включить в параметрах запуска поддержку UDP (опция "-U 11211").
URL: http://www.senki.org/memcached-on-port-11211-udp-tcp-being-e.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=48161
Ещё текста (с картинками) на русском: https://habrahabr.ru/company/qrator/blog/350074/
Кб = килобит
КБ = килобайт
Ну что сложного? Почему каждый раз люди просто пишут "кб" и вынуждают читателя догадываться (а иногда это невозможно из контекста определить). А разница так-то почти на порядок.
В этой статье же вообще используется Кб в значении КБ.
тех. спецы знают, что канальная скорость изм. в битах, а прикладной объем в байтах, зачем мне еще думать про какие-то буквы, товарищ читатель )
> канальная скорость изм. в битах,...боды слышал, не?
> боды слышал, не?В бодах измеряется скорость манипуляции.
> тех. спецы знают, что канальная скорость изм. в битах, а прикладной объем в байтахТех. спецам стоит помнить ещё на всякий, что объём микросхем памяти также измеряется именно в битах, а не байтах. А то потом порой охапки "спецов" вылезают поправить специалистов...
На самом деле всё не так уж и плохо. В местах где это действительно важно, таких ошибок нет, а в масштабе подобных новостных статей ошибка на порядок несущественна.
Хотя откуда вообще такая ошибка берётся мне непонятно. Маленькая литера означает маленький кусок данных, а большая -- большой. Элементарно же.
Откуда вы лезете? Килобит всегда пишут полностью, «Кбит», чтобы не путаться. Какие ещё «маленькие», «большие»?
Не поверишь -- не всегда. И когда незнакомый тебе человек в интернете пишет "Кб" -- как определить, всегда ли они пишет "Кбит", чтобы не путаться, или нет?
Очень просто - либо понятно из контекста, либо ты не в теме и тебе пофигу
> Не поверишь -- не всегда. И когда незнакомый тебе человек в интернете пишет "Кб" -- как
> определить, всегда ли они пишет "Кбит",банально - если тебе пишет оператор "вы опять превысили лимит траффика" - это биты (скорее гига, чем кило)
если админ "ваш бэкап опять не помещается в нашу хранилку" - байты.
> Откуда вы лезете?Подозреваю, что некоторые – с Нибиру.
> Килобит всегда пишут полностью, «Кбит», чтобы не путаться.33k/56k модемы.
Факсы — тоже вполне себе официально:
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?infotype=a...
> 1996
> Speeds: 28.8K, 26.4K, 24.0K, 21.0K, 19.2K, 16.8K 14.4K, 12.0K, 9.6K, 7.2K, 4.8K, 2.4K, 0-300 bps
>bpsДык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше
>>bps
> Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса вышеБоды что ли? Не, не согласный я.
Если bps = baud per second, то получается какое-то масло маслянное, т.к. бод ~ кол. символов в секунду.
Верно.
Там, ЕМНИП, техническая скорость ~3400 бод, что давало 28800 бит/с.
>>>bps
>> Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше
> Боды что ли? Не, не согласный я.
> Если bps = baud per second, то получается какое-то масло маслянное, т.к.
> бод ~ кол. символов в секунду.bps - это "bits per second!" или бод!
> bps - это "bits per second!" или бод!Не или. 1 Бод != 1 bps.
> Килобит всегда пишут полностью, «Кбит»Ага.
Некоторые дауны вмето системной единицы с, пишут сек. Это чтобы людЯм понятнЕе было.
под текстом статьи есть кнопка "Исправить"
А вода мокрая.
А Стахл?
А стахл — стухл
> Кб = килобит
> КБ = килобайт
> Ну что сложного?По-русски приставка "кило-" обозначается строчной буквой "к". Что сложного?
> По-русски приставка "кило-" обозначается строчной буквой "к". Что сложного?А киби- какой буквой обхзначается?
Мне-то не надо, и все эти буквовахтёры ... эээ... шумят без полезного сигнала.
Но!
Не смог удержаться, чтом не спросить. Вдруг, что новое... //ну и пошуметь само: пшпшпш, вжвжвжв
кибибайт = КиБ
> КиБКороль и Бульмень?
Всё просто, те кто учился до 2000-ых пишут килобайт как Кб, а килобит как Кбит.
КБ и кибибайты это уже новомодные изобретения.Килобит как Кб вообще никто никогда не писал и не пишет, это какие-то левые умозаключения.
Кб для килобайтов официально допускается "В качестве графического сокращения наряду с «Кбайт» допускается использование Кб" Русский орфографический словарь. Российская академия наук. Институт русского языка им. В. В. Виноградова, 2012 год. стр 863.
Есть ещё мимимибайт, для измерения количества байт в фотке с котиком.
> Есть ещё мимимибайт, для измерения количества байт в фотке с котиком.А вот зря же человека минусуют!
> Кб = килобит
> КБ = килобайт
> Ну что сложного?Чайник, чо.
КБ - это ЕСКДшное сокращение Конструкторского Бюро.
В Вашем замечании не раскрыта тема кибибитов. :)
тожы самое с разделением разрядов запятой, на эвропейский манер. Ужас.
Про то, что memcached UDP умеет забыли даже разработчики memcached. Не всегда сохранение обратной совместимости идёт во благо.
В Убунту это отключено, так что дело не только в разработчиках.
> В Убунту это отключено, так что дело не только в разработчиках.Во всем виноваты одмины.
они не забыли и udp по сей день является лучшим выбором для подобных приложений.
Они забили на безопасность своей поделки прямо на этапе ее придумывания - это да.
В том числе потому, что были - разработчики, думать как админы - не обучены (в данном случае - о том, что проблема будет не у косорукого, не догадавшегося не торчать чем попало во внешние сети, а у совсем других людей).
Разработчики продукта и должны думать как разработчики продукта. В системе, рассчитанной на максимально высокую скорость и простоту, только авторизации и не хватало.Корректная интеграция - забота разработчиков систем с мемкешедом и прочих девопсов, благо в данном случае все крутилки есть и предельно тривиальны.
> Разработчики продукта и должны думать как разработчики продукта.ну правильно, а то ж лохи не будут платить qrator и cloudlflare миллионы денег за защиту от того, что вы наразрабатываете.
> В системе, рассчитанной на максимально высокую скорость и простоту, только авторизации и не
> хватало.типикал подтверждение, что и как разработчик ты - г-но. (надеюсь, всем остальным понятно, из чего сделан вывод, а этому экземпляру объяснять не стоит)
> Корректная интеграция - забота разработчиков систем с мемкешедом и
а проблема эта, вот удивительно - не разработчиков, а тех, кому прилетело полтерабита в секунду. И сделать с этим они не могут ровно ничего (ну вот разьве что поискать там сип, как некоторые советуют), потому что никак не могут повлиять ни на профнепригодных разработчиков типа тебя, ни на профнепригодных админов миллиарда чужих дерьмовых хостингов.
Не неси фигню, а?Абуза прекрасно рубит таких "дерьмохостеров", аж гай шумит. После этого шевелятся они крайне резво.
Всё остальное - гон человека, не понимающего, кто за что отвечает и какие продукты дохнут, а какие - используются. Ты всерьёз думаешь, что самопальная авторизация в каждой софтине - это хорошо? Оно либо будет крайне тормозным, либо дырявым. Скорее всего - то и другое. И ты ровно так же будешь прикрывать это дело файрволлом и держать во внутренней сети.
А если бы они не сделали биндинг на 0.0.0.0 - то мемкеш вообще бы не взлетел, а взлетело бы что-то, что не требует никаких настроек полсе установки. Ну просто потому, что он пришёл оттуда, где настройками никто не заморачивается.
А сейчас если разворачивать его кошерно, то есть в контейнере - один хрен получишь либо приватную сетку, либо явно будешь прописывать, к каким интерфейсам у него досуп есть.
> Не неси фигню, а?
> Абуза прекрасно рубит таких "дерьмохостеров", аж гай шумит.мнение разработчика о том что он краем уха слышал мне очень интересно, да. А глазами ты явно никогда не видел, что такое 50гигабит на твои несчастные пусть даже десять (многие ли могут похвастать?) заглянувшие на огонек. А тут может быть влегкую 500, для этого достаточно найти всего пять сотен гнилых серверов с гигабитным подключением.
> Всё остальное - гон человека, не понимающего, кто за что отвечает и
> какие продукты дохнут, а какие - используются. Ты всерьёз думаешь, чтомемкэш в общем-то уже и сдох. Именно простота, которая хуже воровства, и погубила (да, там новый чувак пытался что-то делать, но он один и явно работает в свое свободное время). Мир пошел к redis, и к более сложным вещам чем key-value. Да, дохлая курица еще побегает, но уже недалеко и недолго. (причем, что хуже всего, бегать будет именно по рукожопым админам и дерьмохостингам без админа вообще - времена, когда это была технология для грамотных, как раз и кончились, и память подешевела)
> самопальная авторизация в каждой софтине - это хорошо? Оно либо будет
нет, омерзительно (хотя чаще всего через нее просто получают рут и это становится проблемой владельца софтины - что гораздо лучше, чем проблема посторонних, которые ничего не могут сделать с ее источником). Но в данном случае ты выбрал совершенно неверный метод, просто на грани профнепригодности.
Верный - очевидно, сразу же цепляться исключительно к loopback (не работало бы на доисторических bsd jails да и хрен бы с ними, это были бы проблемы отдельных страдальцев, сейчас уже отошедшие в мир иной по старости, вместе с владельцами), а для использования других интерфейсов заставлять пересобирать или хотя бы запусать с ключом --yes-i-know-what-im-doing и с перечнем ip, c которых разрешен доступ.
Причем если ты пишешь udp-не-авторизующий-сервер, тебе другие идеи вообще в принципе не должны были в голову приходить. Еще в том самом 2005м, когда это чудо только появлялось на свет, уже все это знали.
> А сейчас если разворачивать его кошерно, то есть в контейнере - один
то достучаться до него извне будет проблемой посерьезнее биндинга к 127.0.0.1 или вовсе local socket. И ничего, как-то справляются кое-какеры. (какой смысл тратить на такой сервис дополнительные ресурсы в виде контейнера, мне, правда, неведомо, если мы о контейнерах в смысле докера/lxc, а других у нас и нет)
> хрен получишь либо приватную сетку, либо явно будешь прописывать, к каким
> интерфейсам у него досуп есть.eth0, конечно же. Он же первым в голову приходит, а еще они в нее едят!
> Верный - очевидно, сразу же цепляться исключительно к loopback (не работало бы
> на доисторических bsd jails да и хрен бы с ними, этоа что такое "доисторических bsd jails" ?
> а что такое "доисторических bsd jails" ?2005й или когда там мемкэш только изобрели - у jail был только один интерфейс, только один ip, и обычно это ни разу не lo. Виртуальных сетевых карт в нем тем более не было.
Что вызывало некоторые проблемы у софта, пытающегося быть слишком аккуратным, а не сходу к inadr_any - он либо обламывался при попытке открыть несуществующий интерфейс, либо и вовсе цеплялся к вполне себе внешнему ip, думая что прицепился к loopback.Ничего в общем-то ужасного, тогда их еще админы обслуживали, а не обезьянки.
> если разворачивать его кошерно, то есть в контейнереМемкеш в контейнере? Но зачем?
они по другому уже не умеют.
>> если разворачивать его кошерно, то есть в контейнере
> Мемкеш в контейнере? Но зачем?Это такая новая иллюзия безопасности.
> Разработчики продукта и должны думать как разработчики продукта. В системе, рассчитанной
> на максимально высокую скорость и простоту, только авторизации и не хватало.
> Корректная интеграция - забота разработчиков систем с мемкешедом и прочих девопсов, благо
> в данном случае все крутилки есть и предельно тривиальны.Просто разработчики давно здоровьем своей задницы не отвечали за написанное, потому и заботы на каких-то других людей переложены, у которых документации от внедряемого поделия, окромя твитера и слайдшаре (запрещённой в россии террористической организации), отродясь не было.
То есть man - это не документация, а слайдшара - террористическая организация. Круть.
> То есть man - это не документация,нет. man sendmail до понимания.
> а слайдшара - террористическая организация.
угу. Товарищ майор подтвердит. Кажется, они хостились на серверах террористической организации linkedin (запрещена в России).
А вы ничего не путаете?! С каких пор разработчики являются экспертами по безопасности?
> А вы ничего не путаете?! С каких пор разработчики являются экспертами по
> безопасности?даун, открывающий по-умолчанию порты на улицу без авторизации, это действительно не эксперт по безопасности.
Я бы на их месте - вообще оставлял бы конфиги пустыми. Пусть каждый "крутит" так как хочет и несет ответственность за это сам. Нашли крайних...
Вообще то мемкеш успешно складывается от попытки sip регистрации по UDP на порт 11211 ;)Еще есть люди которых не задолбало постоянное падение мемкеша от СИП сканов и они не закрыли мемкеш из мира ?
> Вообще то мемкеш успешно складывается от попытки sip регистрации по UDP на
> порт 11211 ;)мм... у меня не сложился, что я делаю не так?
(а то может это неплохой способ attack mutigation - заодно может и сип где найдется...)> Еще есть люди которых не задолбало постоянное падение мемкеша от СИП сканов
> и они не закрыли мемкеш из мира ?у людей, у которых мемкэш торчит во внешние адреса (админы гoвнохостингов, поскольку у любого другого кэш будет не на фронтенде и при любом раскладе извне недоступен) нет такой проблемы.
Они либо вообще не знают что у них что-то упало, либо давно уже приставили daemontools/systemd к быстрому автоподнятию и не парятся.
>Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификациюЯ представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их стали использовать как тяжелое метательное оружие.
> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
> стали использовать как тяжелое метательное оружие.видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли, хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим комом - побочный веселый эффект.
>> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
>> стали использовать как тяжелое метательное оружие.
> видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
> хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
> комом - побочный веселый эффект.какое отношение ёж имеет к мемкешеду? вы там в огороженном мирке интырпрайза совсем уже обускорялись?
>>> Я представляю сколько сессий
> какое отношение ёж имеет к мемкешеду? вы там в огороженном мирке интырпрайза
> совсем уже обускорялись?--Плслушайте, Штирлиц! А Вы в курсе как в нашем мирке интырпрайза размножаются ёооожжжики!?
>> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
>> стали использовать как тяжелое метательное оружие.
> видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
> хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
> комом - побочный веселый эффект.Вот не надо про ежей! Ежи оне все по талонам!
>>> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
>>> стали использовать как тяжелое метательное оружие.
>> видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
>> хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
>> комом - побочный веселый эффект.
> Вот не надо про ежей! Ежи оне все по талонам!мозг
Я не понимаю, баг кто-нибудь в РедХат откроет? Пусть локалхост слушает по-умолчанию, кому надо - поправят конфигРеально, открывайте issue
Все говорят:> Реально, открывайте issue
А ты купи ELLLLLLLLLL суппорт! Рассказать тебе сказочку про бELLLLLLого бычка?
Там, где используют RHEL, мемкеш не держат на том же хосте, что и его клиентов, а разворачивают его в приватной подсети и прикрывают файрволлом. Поэтому смысла для редхата делать дефолт localhost-only - никакого.
> Я не понимаю, баг кто-нибудь в РедХат откроет?могу в rhel 5.2 открыть. На нее есть контракт. Тебе легче станет?
ничему монга людей не научила, всё еще слушают не на локалхосте по дефолту
как это не научила? Мы вот научились искать уязвимые недоsql-тазабанные.
Правда, раньше мы их искали чтобы поиметь, а сегодня вот нашли нечто новенькое - настолько дырявое by design, что с его помощью можно поиметь весь мир.
> как это не научила? Мы вот научились искать уязвимые недоsql-тазабанные.
> Правда, раньше мы их искали чтобы поиметь, а сегодня вот нашли нечто
> новенькое - настолько дырявое by design, что с его помощью можно
> поиметь весь мир.и с коачем парой лет ранее я что-то похожее тоже припоминаю
Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей прошлой работе - давайдавайдавай быстрейбыстрейбыстрей, десять заданий с дедлайном вчера и ещё новые валятся - я не удивлён, что у них Memcached наружу торчит ничем не прикрытый.
> Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей
> прошлой работе - давайдавайдавай быстрейбыстрейбыстрей,ты с кем это?
> Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей прошлой работедаже (на самом деле - _тем_более_) в таких условиях - не иметь на сервере файрволла с дефолтным поведением DROP, и не открывать порт, нужный только локально, для всех подряд - это, извиняй, подтверждение полного непрофессионализма.
поэтому, видимо, они там и работают - больше никуда парашутиста-торопыгу не берут, а на его место стоит очередь из еще сотни неумех, умеющих только быстро-быстро перебирать тикеты в тикетнице.
А другие туда и не идут. Я тоже сбежал, потому что отношение - "все 24 часа в сутки моего работника принадлежат мне". Я там сидел до 10-11 вечера, разгребал навоз и затыкал дыры, а когда время, уходящее на реагирование на инциденты уменьшилось, так что появилось время на какое-то развитие, хозяин решил, что я недозагружен и должен ещё и счета разносить. Тогда я плюнул и ушёл.
>(усиление в 9000 раз)Over9k!!! O_o
> рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтромПлохая рекомендация, негодная. Вот хорошая:
Рекомендуется запретить доступ ко всем сетевым портам из внешних сетей, разрешив только необходимые.
У хорошо настроенного админа левый глаз должен дёргаться всякий раз, когда он видит, как сетевой интерфейс поднимается до настройки фаерволла. АЖ ТРИСЁТ!
> У хорошо настроенного админа