image

Securitybedrijf ziet ddos-aanval van 1,7 Tbps via memcached

dinsdag 6 maart 2018, 10:25 door Redactie, 3 reacties

Nadat internetgigant Akamai vorige week de grootste ddos-aanval tot dan toe waarnam van 1,3 Tbps, is er nu een nog grotere aanval waargenomen. Securitybedrijf Arbor Networks heeft een aanval van 1,7 Tbps gezien die gericht was tegen een klant van een Amerikaanse serviceprovider.

Net als de ddos-aanval van 1,3 Tbps waar softwareontwikkelingsplatform GitHub het doelwit van werd, maakte ook deze ddos-aanval gebruik van publiek beschikbare memcached-servers. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist.

Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd.

"Hoewel de internetgemeenschap samenwerkt om veel publiek toegankelijke memcached-servers uit te schakelen, zorgt het grote aantal open servers dat memcached draait ervoor dat dit een beveiligingslek is dat aanvallers over langere tijd zullen aanvallen", aldus Carlos Morales van Arbor Networks. Hij merkt op dat de aanval geen storing of downtime bij de serviceprovider veroorzaakte.

Image

Reacties (3)
06-03-2018, 12:04 door [Account Verwijderd]
Zelfde rekenfout als gisteren.
203 * 50.000 = 10Mbyte , niet 100Mbyte.
Nog steeds indrukwekkend.
06-03-2018, 12:06 door Anoniem
"Hoewel de internetgemeenschap samenwerkt om veel publiek toegankelijke memcached-servers uit te schakelen"

Laten ze liever de acces- en hosting providers zonder BCP38 afkoppelen, dan is tenminste niet alle moeite voor
niets geweest bij het ontdekken van de volgende UDP amplifier!
Wat er nu gedaan wordt is meer dweilen met de kraan open.
06-03-2018, 17:26 door Briolet
Door NedFox: Zelfde rekenfout als gisteren.
203 * 50.000 = 10Mbyte , niet 100Mbyte.
Nog steeds indrukwekkend.

En als vorige week. De 100 MB klopt overigens, die factor is fout.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.