Securitybedrijf ziet ddos-aanval van 1,7 Tbps via memcached

[Captain Kirk]

Nadat internetgigant Akamai vorige week de grootste ddos-aanval tot dan toe waarnam van 1,3 Tbps, is er nu een nog grotere aanval waargenomen. Securitybedrijf Arbor Networks heeft een aanval van 1,7 Tbps gezien die gericht was tegen een klant van een Amerikaanse serviceprovider.

Net als de ddos-aanval van 1,3 Tbps waar softwareontwikkelingsplatform GitHub het doelwit van werd, maakte ook deze ddos-aanval gebruik van publiek beschikbare memcached-servers. Memcached is bedoeld om tijdelijk kleine hoeveelheden data op te slaan uit bijvoorbeeld databases om zo websites en webapplicaties sneller te maken. Het communiceert via het User Datagram Protocol (UDP) dat geen authenticatie voor de communicatie vereist.

Een aanvaller kan door ip-spoofing naar deze systemen een commando sturen waarbij wordt gedaan alsof het verzoek van de aan te vallen website afkomstig is. Doordat de antwoorden van het memcached-systeem veel groter zijn dan de verzoeken, kan een aanvaller met relatief weinig bandbreedte een grotere aanval op het doelwit uitvoeren. Dit word ook wel een amplificiatie-aanval genoemd. In het geval van memcached is er sprake van een amplificatiefactor van meer dan 50.000. Een verzoek van bijvoorbeeld 203 byte resulteert in een antwoord van 100 megabyte dat naar de aangevallen website wordt verstuurd.

"Hoewel de internetgemeenschap samenwerkt om veel publiek toegankelijke memcached-servers uit te schakelen, zorgt het grote aantal open servers dat memcached draait ervoor dat dit een beveiligingslek is dat aanvallers over langere tijd zullen aanvallen", aldus Carlos Morales van Arbor Networks. Hij merkt op dat de aanval geen storing of downtime bij de serviceprovider veroorzaakte.

 

 

bron: security.nl