DDoS-rekord slået igen via samme teknik

Illustration: tashatuvango/Bigstock
Amplifikationsangreb via dårligt sikrede memcached-servere er igen blevet brugt til at sætte DDoS-rekord.

Det nye sort i forhold til DDoS-angreb lader til at være amplikationsangreb via dårligt sikrede memcached-servere.

I hvert fald kan The Register berette, at det DDoS-angreb, som GitHub blev udsat for i sidste uge, og som blev betragtet som rekordstort, nu er blevet overgået målt i trafik-mængde. Og igen er det sket via memcached-servere.

Det er Arbor Networks, der har registeret det store angreb, som har været rettet mod en unavngiven amerikansk tjenesteudbyder.

Ifølge et blogindlæg fra Carlos Morales, VP for salg, udvikling og operations ved Arbor Networks, så blev trafikken ved angrebet målt til 1,7 terabit per sekund, mens Github-angrebet peakede ved 1,3 terabit per sekund.

Modsat Github, der oplevede udfald i forbindelse med angrebet, så oplevede den unavngivne tjenesteudbyder ikke tilsvarende problemer.

Blogindlægget hos Arbor Networks henviser til, at virksomheden har haft tilstrækkelige beskyttelsesmekanismer på plads.

Både det ene og det andet angreb er sket via servere med memcached cache-softwaren, som ikke har været sat op til at kræve autentifikation. Angrebet foregår ved at spoofe UDP-adresser på ofre overfor serveren, som så bombarderer målene med trafik.

Amplifikationsangreb

Angrebet er et amplifikationsangreb. Det vil generelt sige, at angriberen kan nøjes med at sende et relativt lille antal forespørgsler til den sårbare server, som så ganger trafikmængden op og sender den videre mod ofrene.

Ifølge The Register kan det i tilfældet med memcached betyde, at helt op til 50.000 gange den trafikmængde angriberen sender til serveren, bliver sendt videre til ofrene. Så angribere med en relativ lille båndbredde kan altså forvolde stor ulykke.

Der er flere måder at lukke ned for memcached-angrebene på. Først og fremmest ved at blokere for UDP-trafik på port 11211, som blive anvendt af memcached-servere. Derudover så skal åbne memcached-servere lukkes ned, så alle og enhver ikke kan sende trafik via dem.

»Mens internet-communitiet samles om at lukke adgangen til mange åbne memcached-servere derude, så vil det blotte antal servere, der kører memcached åbent gøre dette til en vedvarende sårbarhed, som angribere vil udnytte,« fortæller Carlos Morales.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere