Uma técnica cuidadosamente preparada permite que um invasor com capacidade limitada de falsificação de IP, como 1 Gbps, lance ataques muito grandes que atingem centenas de gigabits por segundo, informou a Cloudflare. A empresa citou um ataque DDoS recente lançado contra sua rede, no qual os atacantes enviaram pacotes de 15 bytes e os servidores Memcached responderam com pacotes de 750 KB.
Como se trata do protocolo UDP, que não exige um endereço de origem em seus cabeçalhos, o endereço IP original do pacote pode ser facilmente falsificado. Assim, um invasor pode induzir o servidor Memcached a enviar pacotes de resposta superdimensionados para outro endereço IP, o infeliz alvo.
Os servidores Memcached também expõem sua porta UDP a conexões externas na configuração padrão, o que significa que qualquer servidor Memcached que não esteja atrás de um firewall pode ser usado indevidamente para ataques DDoS agora mesmo.
A correção é bastante fácil, e o Cloudflare explica isso em seu relatório. Os usuários do servidor Memcached devem desativar a porta UDP imediatamente e colocar esses servidores em redes privadas atrás de firewalls.
