Af Torben B. Sørensen, 01/03/18
De seneste dage har sikkerhedsfirmaer observeret en stor vækst i DDoS-angreb, der udnytter servere med cache-systemet Memcache. Angrebene er såkaldte reflection-angreb.
Angriberen sender en UDP-pakke med forfalsket afsenderadresse til en Memcache-server. Pakken indeholder en forespørgsel om at få tilsendt data fra serveren.
Serveren sender de ønskede data til den forfalskede afsenderadresse, der tilhører offeret. Derved bliver offerets IP-adresse overbelastet, da dataene kan være meget omfattende.
Hidtil har reflection-angreb blandt andet anvendt protokoller som NTP (Network Time Protocol) og SSDP (Simple Service Discovery Protocol). Memcache er først nu blevet populær.
Den er meget effektiv til at forstærke et angreb: En enkelt forespørgsel fra angriberen kan afføde 51.200 gange større svar, som sendes til offeret.
Netfirmaet Cloudflare har set Memcache-baseret trafik på op til 260 Gbit/s.
Kommunikationen foregår over UDP-port 11211.
Anbefaling
Sikkerhedsforskere opfordrer brugere af Memcache til at slå UDP-kommunikation fra. Man bør også overveje at isolere serveren fra internettet.
Links
- Memcrashed - Major amplification attacks from UDP port 11211, Cloudflare
- Memcached UDP Reflection Attacks, Akamai
- memcached on port 11211 UDP & TCP being exploited, blogindlæg fra Barry Raveendran Greene
- Popular cache utility exploited for massive reflected DoS attacks, artikel fra The Register
- Massive Malspam Campaign Targets Unpatched Systems, artikel fra Kaspersky Threatpost
- Memcache Servers Can Be Abused for Insanely Massive DDoS Attacks, artikel fra Bleeping Computer