Attacchi memcached, nuovi bersagli e kill switch

La nuova tecnica DDoS prova a fare nuove vittime "eccellenti", ma il colpo non va a segno mentre i ricercatori avvertono: i server memcached hanno un "kill switch" incorporato dagli effetti potenzialmente deleteri

Roma – Dopo aver fatto registrare un autentico record in fatto di traffico dati indesiderato , gli attacchi DDoS a base di server memcached sono nei giorni scorsi passati alla ricerca di nuove vittime di alto profilo da buttare fuori dalla Rete. Come già ampiamente previsto, però, i provider di rete hanno messo in pratica tutte le misure necessarie a neutralizzare la nuova minaccia.

La tecnica nota come “memcached reflection” sfrutta le caratteristiche proprie della tecnologia memcached, un sistema pensato per velocizzare l’utilizzo dei database (e i siti Web dinamici su di essi basati) tramite l’impiego della RAM dei server come cache per gli oggetti di dati: query da pochi byte possono portare all’invio di risposte enormemente più “pesanti”, e il traffico così generato può essere rediretto su un network bersaglio nel più classico caso di attacco DDoS.

GitHub ha già dovuto subire un attacco senza precedenti con picchi di traffico da quasi 2 Terabit, e dopo il servizio di gestione del codice sorgente gli ignoti cyber-criminali hanno deciso di sfruttare la nuova arma telematica prendendo di mira qualcosa come 7.000 diversi indirizzi IP univoci .

La maggior parte dei potenziali bersagli si trova negli Stati Uniti e in Cina, dicono i ricercatori, con gli IP summenzionati che appartengono ad aziende del calibro di Google, Amazon ma anche la National Rifle Association (NRA) americana, il blog di Brian Krebs, società di sicurezza, siti di videogiochi e altro ancora.

I nuovi attacchi hanno raggiunto volumi di traffico compresi fra i 500 Gb e 1 Tb, ma diversamente da GitHub non ci sono state conseguenze particolarmente gravi: gli attacchi di tipo memcached reflection sono relativamente facili da neutralizzare visto che arrivano su una singola e ben nota porta di rete, mentre la tecnologia di cache supporta un comando interno ( flush_all ) in grado di agire da “kill switch” svuotando tutta la memoria del server e bloccando immediatamente qualsiasi attacco. Le prestazioni del servizio di rete potrebbero però peggiorare in maniera sensibile.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

Chiudi i commenti