Gestern fand der gr√∂√üte DDoS-Angriff in der Geschichte auf Github statt. Der Angriff ging von √ľber tausend verschiedenen autonomen Systemen und von zehntausenden Servern aus. Es war ein Amplification-Angriff, welcher memcached nutzte und die Spitzenleistungen von 1.35Tbps via 126.9 Millionen Packets pro Sekunde erreichte.

Dieser voluminöse DDoS Angriff war durch das Generieren von UDP-basiertem memcached Traffic möglich.
Memcached ist eine freie und open-source Software, die Datenbank-betriebene Webseiten beschleunigen kann, indem Daten in RAM hochperformant gespeichert werden.

Die Angreifer haben manipulierte UDP-Packete an die √∂ffentlich erreichbaren memcached Server gesendet. Dabei war die Sender-IP-Adresse nicht der tats√§chliche Absender, sondern das Ziel des Angriffs. Dadurch antworteten die memcached Server an die Zieladresse des Angriffs. Diese Attacke hat eine 10,000:1 Amplification Ratio, das hei√üt im Durchschnitt wurden f√ľr jedes Byte, das ein Angreifer an den ungesch√ľtzten Memcached Server gesendet hat, 10 KB vom Server an das tats√§chliche Opfer geschickt.

Wenn Sie memcached auf Ihren Servern betreiben, empfehlen unsere Netzwerk Administratoren Ihnen dringend den Remote Zugriff zu deaktivieren falls Sie diesen nicht ben√∂tigen und zus√§tzlich den Zugriff per Firwall abzusichern, sodass nur autorisierte Systeme Zugriff haben. Betroffen von dem Problem ist ausschlie√ülich UDP, memcached √ľber TCP ist hierf√ľr nicht angreifbar. Bei Neuinstallationen ist die UDP-Verbindung standardm√§√üig deaktiviert, sodass diese¬†von dem Problem nicht betroffen sind.

Sollten Sie dazu Hilfe benötigen oder Fragen haben, bitte einfach ein E-Mail an support [at] internex.at senden.

Veröffentlicht am