الهجمة الجديدة تستند إلى نقطة ضعف في برمجية مخصصة لتسريع أداء المواقع
«الحرمان من الخدمة الموزعة» تهاجم الإنترنت
تتعرض الإنترنت عالمياً، منذ أيام عدة، لهجمة أمنية من النوعية المعروفة باسم «الحرمان من الخدمة الموزعة»، التي تعرف اختصاراً بهجمات «دي دي أو إس»، التي وصفها خبراء بأنها الأكبر والأسوأ من نوعها في تاريخ الإنترنت، وتحمل اسم «ميم كراشد»، إذ يستغل المهاجمون نقطة ضعف أمنية في برمجية تدعى «ميم كاشد»، تستخدمها المواقع المختلفة لتسريع أدائها، وجعلها سريعة الاستجابة للمستخدمين، بحيث يستفيد المهاجمون منها في تضخيم الطلبات وحركة المرور الواردة للمواقع بصورة زائفة، لتصل إلى 51 ألف ضعف حجمها الحقيقي في كل لحظة، ما يجعل الطلبات والأوامر الوهمية وكأنها موجات
• المهاجمون يضخّمون حركة المرور الواردة إلىالمواقع لحظياً بـ51 ألف ضعف حجمها الأصلي. • إجراءات للحماية حدد خبراء في أمن المعلومات عدداً من الخطوات التي يمكن لمديري المواقع ومسؤولي أمن المعلومات اللجوء إليها للحماية من هجمة «ميم كراشد»، يتمثل أبرزها بما يلي: - فتح ملف باسم /etc/memcached.conf في محرر نصوص. - تحديد موقع المعامل «إم»، وتغيير قيمته إلى غيغبايت واحد على الأقل. - تحديد موقع المعامل «آي» وتغيير قيمته إلى 127.0.0.1 أو تغييره إلى مضيف داخلي. - حفظ التغييرات الخاصة بالمستخدم على ملف باسم memcached.conf ثم إغلاق محرر النصوص. - إعادة تشغيل برمجية «ميم كاشد». - إغلاق المنفذ (11211)، والتحقق من استخدام خدمات صد والتخفيف من هجمات إنكار الخدمة، مثل خدمة «كلاود فلير». |
«تسونامي».
موجة انفجارية
ونقلت شبكة «زد دي نت» المتخصصة في تقنية المعلومات عن خبراء في أمن المعلومات، أن نصيب الموقع الذي يتعرض لهذه الهجمة من حركة المرور الزائفة يصل الى ما يتجاوز تيرابايت واحد من حركة المرور المزيفة السيئة في كل لحظة، وهو معدل دفع الخبراء إلى القول إنه يتجاوز كثيراً كل ما شهدته الفترة الأخيرة في معدل حدوث هجمات «الحرمان من الخدمة الموزعة»، لأن هجمة «ميم كراشد» الجديدة تعمل وكأنها موجة انفجارية في حجم حركة المرور الزائفة والضارة التي يتعرض لها أي موقع، حيث توقفه عن العمل.
ووفقاًَ للخبراء في شركة «كلاود فلير» المتخصصة في تأمين وكفاءة خدمات الـ«ويب»، فإن هجمة «ميم كراشد» تعمل من خلال استغلال برنامج يدعى «ميم كاشد»، مفتوح المصدر، ويعمل بطريقة موزعة، ويعد نظاماً للذاكرة المؤقتة، ويستخدم عادة لتسريع أداء المواقع، وفي كثير من الأحيان يقوم مسؤولو إدارة النظم من غير ذوي الكفاءة بتفعيل هذا البرنامج وتشغيله عبر الحاسبات الخادمة بالإنترنت المفتوحة، وهو أمر لم يكن يحدث من قبل على الإطلاق، إذ لم يكن أي من مديري النظم يقدم على تشغيل برمجية «ميم كاشد» وإتاحتها عبر الإنترنت، لأنها حزمة برمجية ليس بها أي نوع من التأمين والتعرف إلى الهوية، ولذلك من السهل إساءة استخدامها.
قيم ضخمة
وأوضح الخبراء أنه عندما يتلقى حاسب خادم طلباً من برمجية «ميم كاشد» لتنفيذ أمر ما، فإنه يجمّع القيم المطلوبة من الذاكرة لتكوين الإجابة عن الطلب، وفي هذه الحال يرسل الإجابات على الطلبات عبر الإنترنت في صورة تيار لا ينقطع من حزم بيانات تعرف باسم «يو دي بي»، أو بروتوكول تخطيط بيانات المستخدم، وكل حزمة منها يصل طولها إلى ما يقرب من نحو 1400 حرف أو بايت.
وأضافوا أنه إذا تم تفعيل برمجية «ميم كاشد» على الإنترنت المفتوحة من دون احتياطات كاملة، يمكن للمهاجم أن يقوم بإدخال أو إدراج سجلات وبيانات في حاسبات «ميم كاشد» الخادمة، مشيرين إلى أنه في الوضع الافتراضي، فإن البرمجية تستخدم حزم بيانات تقف عند واحد ميغابايت من البيانات كحد أقصى لا يجب أن تزيد عليه، لكن المهاجم يدرج قيماً أعلى من ذلك بكثير، ويطلب قيم بيانات متعددة ومتكررة في الطلب الواحد، وبالتالي يمكنه تحميل قيم ضخمة وطويلة في البيانات المخزنة، ثم يستخدمها في الهجوم.
حزم بيانات
وأكد الخبراء أنه حتى مع الحزمة الواحدة، التي تصل قيمة البيانات بها إلى ميغابايت واحد، يمكن لمهاجم أن يستخدم حزم بيانات من نمط «يو دي بي» زائفة، ويطلب إرسال هذه القيمة المخزنة مئات المرات في الطلب الواحد، عبر المنفذ الذي تستخدمه برمجية «ميم كاشد» بطريقة اعتيادية، وهو المنفذ رقم (11211)، الأمر الذي من شأنه أن يصنع تضخماً هائلاً وعاتياً في عدد الطلبات، ثم يعيد توجيهها إلى الموقع الذي يريد مهاجمته، مبينين أن التضخيم الناجم عن هذا الأمر يصل إلى أن كل 203 بايت من الطلبات، يتم تضخيمها لتصبح 100 ميغابايت، من حركة المرور المنعكسة الصادرة عن الموقع المصاب، والموجهة إلى مواقع أخرى.
وأوضحوا أن هذه عملية أشبه بما يحدث عند تضخيم الصوت الضعيف، ليخرج قوياً من «الميكروفون»، حيث إن المهاجم يذهب إلى هذه البرمجية غير المؤمنة، ويجعلها تقوم بسلوك مشابه، فبدلاً من أن تصدر طلبات بصورة مقننة وصغيرة وسريعة، تساعد الموقع على الاستجابة للطلبات الواردة إليه من المستخدمين والزوار، فإنها تضخّم كل طلب صادر عنها آلاف ومئات الآلاف من المرات، فتنشئ تياراً عاتياً من حركة المرور الزائفة ليضرب مواقع أخرى.