Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Memcached, DDoS

Ny DDoS attack - Memcached

Memcached används i DDoS-attacker.

Vad har hänt?

I början av veckan noterades en spik av UDP-attacker som kom via
port 11211 som används av tjänsten Memcached. Angriparna har använt
sig av tjänsten för att kunna göra en DDoS i form av en
reflektionsattack som förstärks upp till 51000 gånger.

Konsekvens:

En lyckad attack medför att en exponerad Memcached-tjänst inom en
organisation kan nyttjas i en DDoS-attack mot en tjänst hos en
extern organisation. Då förstärkningsfaktorn är så pass stor så har
organisationer som blivit utsatta för attackerna sett trafikmängder
upp till 500 Gbps via Memcached-attacker.

Beskrivning:

Memcached-protokollet var aldrig tänkt att exponeras ut mot
Internet. Som standard lyssnar tjänsten på port 11211 via TCP och
UDP på localhost på de flesta installationer, men några
distributioner lyssnar på alla nätverksenheter som standard, vilket
gör att tjänsten lätt kan bli exponerad mot Internet.
När systemet får en Memcached-fråga, skapas ett svar genom att den
efterfrågade informationen samlas ihop i minnet och skickas sedan i
en ström mot målet i form av multipla UDP-paket om 1400 bytes.
Det går även att efterfråga samma information multipla gånger i en
och samma fråga, vilket gör det möjligt att ställa en 200 bytes
fråga som resulterar i ett 100MB svar.

Lösningsförslag:

Första steget är att sätta upp brandvägggsregler som filterar bort
alla externt inkommande anrop mot port 11211 via TCP och UDP.
Om tjänsten inte behöver vara exponerad mot världen, konfigurera om
den så att den bara svarar mot de system som den behöver vara i
kontakt med, i regel räcker det med localhost.

Källa:

https://github.com/memcached/memcached/issues/348
https://www.us-cert.gov/ncas/alerts/TA14-017A
https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/