Memcached DoS攻撃を自動で緩和するツールがリリース。
セキュリティ研究者のAmir Khashayar Mohammadi氏は、Memcachedサーバー経由でDDoS攻撃を受ける犠牲者を支援する新しいツール「Memfixed」を発表した。
Pythonで書かれたこのツールは、開発者がMemcachedプロジェクトに提出した緩和手法をベースに開発された。
この緩和手法は、被害者のネットワークを攻撃しているMemcachedサーバに "flush_all"コマンドを送信することから成り立っている。
尚、DDoSの防御をサービスとするセキュリティ企業Coreroも検証済みである。
MemfixedはMemcached DDoS攻撃の防御を自動化
Mohammadi氏が開発したツールは、Memfixedを作成して緩和プロセスを自動化する。
被害者は、Memfixedを使用して、一部の各IP、または複数の攻撃IPのグループに「flush_all」コマンドを送信出来る。
flush_allコマンドは、DDoS攻撃を実行している悪意のあるペイロードを含むMemcachedサーバーのキャッシュメモリを消去する。
Memfixedは、攻撃側のサーバに「シャットダウン」コマンドを送信する機能もサポートするようだ。
しかし、実際には別のサーバをシャットダウンすると、誤って重要な操作に悪影響する可能性があるため、この方法の使用はお勧めできない。
Memfixedを使用するための簡単な手順
このツールを使用する最も一般的なシナリオは、複数の攻撃サーバーのリストにflush_allコマンドを送信することだ。
Memfixedを起動する前に、攻撃するIPのリストを作成し、ツールと同じフォルダにservers.txtという名前のファイルに保存する必要がある。
リストには、以下の形式のように、1行に1つのIPを保持しなければならない。
0.0.0.0
0.0.0.0
0.0.0.0
Memfixed起動すると、一連のプロンプトが表示される。
(Memfixedを起動すると表示される画面。Bleeping Computerより引用。)
1つのIPアドレスまたは複数のIPアドレスに対してツールを使用するかどうかを尋ねる最初の質問では、「すべて」を選択する。
Memfixedは、Shodan APIを使用して攻撃対象のIPアドレスのリストを収集し、ローカルに保存されたデータ(別名servers.txtファイル)を表示する。
次に、CLIに "2"を入力してflush_allメソッドを選択する必要がある。
Memfixedは、迷惑メールトラフィック(DDoS攻撃の一部)でインフラストラクチャに衝撃を与えているservers.txtファイルにあるすべてのIPにMemcached固有のflush_allコマンドを送信する。
開発者であるMohammadi氏は、Bleeping Computerに攻撃を緩和するMemfixedツールを示す以下のスクリーンショットを提供。
(Mohammadi氏が提供したスクリーンショット。Bleeping Computerより引用。)
ちなみにMohammadi氏は、MemcachedをベースにしたDDoS攻撃を自動化するツール”Memcrashed”というPoCツールを以前にリリースしたのと同じセキュリティ研究者である。
(This article is a Japanese translation of ”Technique Discovered That Can Mitigate Memcached DDoS Attacks” written by Catalin Cimpanu at BleepingComputer.)