РЕКЛАМА НА ФОРУМЕ 

РЕКЛАМА НА ФОРУМЕ MultiVPN РЕКЛАМА НА ФОРУМЕ

Ddos Memcached

Сообщения
34
Реакции
1
Баллы
13
Одним из главных событий последних недель можно назвать мощнейшие DDoS-атаки, достигавшие мощности 1,7 Тб/сек за счет Memcached-амплификации. Теперь в сети были опубликованы PoC-утилиты для организации таких атак, а также IP-адреса 17 000 уязвимых серверов. Но практически одновременно с этим специалисты компании Corero Network Security сообщили, что нашли способ защиты.

Напомню, что злоумышленники научились использовать для амплификации DDoS-атак серверы Memcached, что позволяет усилить атаку более чем в 50 000 раз. Данный метод впервые был описан в ноябре 2017 года группой исследователей 0Kee Team из компании Qihoo 360. Тогда эксперты предрекали, что из-за эксплуатации Memcached-серверов мы увидим DDoS-атаки мощностью вплоть до 2 Тб/сек.

Вновь о таком методе амплификации заговорили в конце февраля и начале марта 2018 года. Тогда компании Qrator Labs, Cloudflare, Arbor Networks и Qihoo 360 практически одновременно сообщили о том, что преступники действительно начали использовать Memcached для амплификации DDoS-атак, и отчитались от отражении атак мощностью 260-480 Гб/сек. Затем на GitHub обрушилась атака мощностью 1,35 Тб/сек, а также были зафиксированы случаи вымогательских DDoS-атак, тоже усиленных при помощи Memcached.

Mar2018_Peak_Attack_Size.png
Эксплоиты
Сразу три proof-of-concept утилиты для организации DDoS-атак с амплификацией посредством Memcached были опубликованы в сети.

Первая утилита — это написанный на Python скрипт Memcacrashed.py, который сканирует Shodan в поисках уязвимых Memcached-серверов. Скрипт позволяет пользователю сразу же использовать полученные IP-адреса для усиления DDoS-атаки. Автором данного решения является ИБ-специалист, ведущий блог Spuz.me.
Memcached-PoC.png

Разумеется, таких показателей атакующие добились благодаря Memcached. Дело в том, что в случае амплификации атаки через Memcached, запрос, чей объем равен всего 15 байтам, может превращаться в ответ размером 134 Кб (то есть запрос на 203 байт обернется ответом на 100 мегабайт). При этом исследователи уже предупреждали, что для амплификации атак уже используются серверы таких крупных хостинг-провайдеров, как OVH, Digital Ocean, Sakura.

Хуже того, если по данным Shodan, в конце февраля 2018 года в сети можно было обнаружить около 93000 Memcached серверов теперь аналитики Shodan подготовили новый отчет, согласно которому Memcached-серверов в онлайне стало не меньше, а больше, невзирая на все предостережения специалистов. По информации на 5 марта 2018 года их количество теперь превышает 105 000.

Memcached-PoC-1.png

Вторая утилита была опубликована на Pastebin еще в начале текущей недели, ее автор неизвестен. Инструмент написан на C и комплектуется списком из 17 000 IP-адресов, принадлежащих уязвимым Memcached-серверам. Скрипт запускает DDoS-атаку, используя адреса из списка для ее амплификации.
 

D108

Команда форума
Сообщения
395
Реакции
114
Баллы
58
Зачем писать тему о том что ты не пробовал?
 
OP
Сообщения
34
Реакции
1
Баллы
13
Все работает,для этого нужно купить спуфинг сервер стоит он нехило в рублях примерно от 7-12к+ в месяц если есть возможность пробуй,да и такие сервера найти очень сложно для такого дудоса сам искал не нашел..
 
OP
Сообщения
34
Реакции
1
Баллы
13
Exploit
Код:
                      :::!~!!!!!:.
                  .xUHWH!! !!?M88WHX:.
                .X*#[email protected]$!!  !X!M$$$$$$WWx:.
               :!!!!!!?H! :!$!$$$$$$$$$$8X:
              !!~  ~:~!! :~!$!#$$$$$$$$$$8X:
             :!~::!H!<   ~.U$X!?R$$$$$$$$MM!
             ~!~!!!!~~ .:XW$$$U!!?$$$$$$RMM!
               !:~~~ .:!M"T#$$$$WX??#MRRMMM!
               ~?WuxiW*`   `"#$$$$8!!!!??!!!
             :X- M$$$$       `"T#$T~!8$WUXU~
            :%`  ~#$$$m:        ~!~ ?$$$$$$
          :!`.-   ~T$$$$8xx.  .xWW- ~""##*"
.....   -~~:<` !    ~?T#[email protected]@[email protected]*?$$      /`
[email protected]@M!!! .!~~ !!     .:XUW$W!~ `"~:    :
#"~~`.:x%`!!  !H:   !WM$$$$Ti.: .!WUn+!`
:::~:!!`:X~ .: ?H.!u "$$$B$$$!W:U!T$$M~
.~~   :[email protected]!.-~   [email protected]("*$$$W$TH$! `
Wi.~!X$?!-~    : ?$$$B$Wu("**$RM!
[email protected]~~ !     :   ~$$$$$B$$en:``
[email protected]~    :     ~"##*$$$$M~
 
Сообщения
8
Реакции
0
Баллы
1
Метод не рабочий, имея api key Shodan , программа якобы работает.НО простецкий сайт не ощущает эти 2тб/c. Так же пробовал вторую утилиту на С, реакция такая же.
 
Сообщения
8
Реакции
0
Баллы
1
А как по твоему гитхаб положили?
Точно не с помощью этого софта который указан в теме. Или же я что-то не правильно делаю. Ты сам-то тестил эти утилиты перед тем как выложить?
 
Последнее редактирование:

D108

Команда форума
Сообщения
395
Реакции
114
Баллы
58
Точно не с помощью этого софта который указан в теме. Или же я что-то не правильно делаю. Ты сам-то тестил эти утилиты перед тем как выложить?
Нет,он их не тестил, так как вряд-ли знает как их скомпилить
 
Сообщения
8
Реакции
0
Баллы
1
Нет,он их не тестил, так как вряд-ли знает как их скомпилить
Мне кажется они и скомпиленные не работают, или же что-то не правильно делаю. Допустим с первым софтом на питоне у меня был shodan api рабочий ,и всё якобы проводило атакку с 40к ип адрессов( но на результате 0). А со вторым софтом который на Си , я его запустил , ввел все параметры, так же программа работает , но эффекта 0. В чем может быть проблема ?
 
OP
Сообщения
34
Реакции
1
Баллы
13
OP
Сообщения
34
Реакции
1
Баллы
13
Сообщения
4
Реакции
0
Баллы
1
Программа до сих пор работает, работает по udp протоколу.Порт 11206.Если у сервак открыт этот порт, то админ сервака мудак.Не сконфигил.И сервак становиться уязвим.Вот Шодан нам и собирает эти серваки. Но их серваков становиться все меньше и меньше.Закрывают уязвимость.
 
Сверху