Memcached Amplification Attack – DDoS möglich

Laut einem aktuellen Bericht auf heise.de gibt es aktuell vermehrt DDoS Angriffe die über öffentlich erreichbare Memchaced Server durchgeführt werden. Demnach sind diese Server unzureichend abgesichert und reagieren auf öffentliche Anfragen über den Default-port 11211. Angreifen nutzen hierbei die Open-Source Software Memcached, die den Zugriff auf Webseiten beschleunigen soll, für umfangreiche DDoS (Denial of Service) Angriffe.

Bei den Angriffen werden die Cache-Server mit Anfragen überhäuft, die dann an die Zielserver / Opfer zurück feuern um diese so unererichbar zu machen. So ist es möglich, dass Memcached Server mit 1Gbtis Anbindung über 20Gbits Traffic erzeugen. Die Angreifer verstecken sich so hinter den ahnungslosen Serverbetreibern. Die Angriffe dauern zum Teil bis zu 10 Minuten, wobei der Traffic zwischen 100 bis 296Gbits schwankt. Laut Analysten von Link11 kommen die meisten Angriffe aus den USA, aber auch aus Frankreich, den Niederlanden, Kanada und weiteren.

Die Form dieser DDoS Angriffe wird auch Redirection- oder Amplifikation Angriff genannt.

Damit man nicht selber mit seinem Memcached-Server Opfer und Angreifer wird, heißt es diesen abzusichern. Unter Debian z.B. über die /etc/memcached.conf in der die Optionen wie folgt korrekt konfiguiert werden sollten:

Memcached Server korrekt konfigurieren

  • Default Connection Port z.B. der Decault
    • -p 11211
  • IP adress to listen on
    • -l 127.0.0.1
  • Limit number of simultaneous incoming connections
    • -c 1024

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.