DDoS-rekord slået igen via samme teknik
Det nye sort i forhold til DDoS-angreb lader til at være amplikationsangreb via dårligt sikrede memcached-servere.
It-sikkerhedsmessen Infosecurity Denmark 2018 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 2. og 3. maj i Øksnehallen i København. Konferenceprogrammet dækker både compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt cloud security og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Vil du gå direkte til tilmelding, klik her.Version2 Infosecurity
I hvert fald kan The Register berette, at det DDoS-angreb, som GitHub blev udsat for i sidste uge, og som blev betragtet som rekordstort, nu er blevet overgået målt i trafik-mængde. Og igen er det sket via memcached-servere.
Det er Arbor Networks, der har registeret det store angreb, som har været rettet mod en unavngiven amerikansk tjenesteudbyder.
Ifølge et blogindlæg fra Carlos Morales, VP for salg, udvikling og operations ved Arbor Networks, så blev trafikken ved angrebet målt til 1,7 terabit per sekund, mens Github-angrebet peakede ved 1,3 terabit per sekund.
Modsat Github, der oplevede udfald i forbindelse med angrebet, så oplevede den unavngivne tjenesteudbyder ikke tilsvarende problemer.
Blogindlægget hos Arbor Networks henviser til, at virksomheden har haft tilstrækkelige beskyttelsesmekanismer på plads.
Både det ene og det andet angreb er sket via servere med memcached cache-softwaren, som ikke har været sat op til at kræve autentifikation. Angrebet foregår ved at spoofe UDP-adresser på ofre overfor serveren, som så bombarderer målene med trafik.
Amplifikationsangreb
Angrebet er et amplifikationsangreb. Det vil generelt sige, at angriberen kan nøjes med at sende et relativt lille antal forespørgsler til den sårbare server, som så ganger trafikmængden op og sender den videre mod ofrene.
Ifølge The Register kan det i tilfældet med memcached betyde, at helt op til 50.000 gange den trafikmængde angriberen sender til serveren, bliver sendt videre til ofrene. Så angribere med en relativ lille båndbredde kan altså forvolde stor ulykke.
Der er flere måder at lukke ned for memcached-angrebene på. Først og fremmest ved at blokere for UDP-trafik på port 11211, som blive anvendt af memcached-servere. Derudover så skal åbne memcached-servere lukkes ned, så alle og enhver ikke kan sende trafik via dem.
»Mens internet-communitiet samles om at lukke adgangen til mange åbne memcached-servere derude, så vil det blotte antal servere, der kører memcached åbent gøre dette til en vedvarende sårbarhed, som angribere vil udnytte,« fortæller Carlos Morales.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
