Sterke toename memcached DDoS-aanvallen

Sterke toename memcached DDoS-aanvallen

DearBytesBlogSterke toename memcached DDoS-aanvallen

vrijdag 2 maart 2018

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt voor zeer krachtige DDoS-aanvallen waarbij gebruik gemaakt wordt van publiek beschikbare memcached-systemen. Bij een memcached DDoS aanval wordt misbruik gemaakt van publiek toegankelijke memcached-servers om hiermee websites plat te liggen. Memcached-servers zijn systemen die worden ingezet voor het versnellen van websites en webapplicaties, doordat ze tijdelijk opgeslagen gegevens uit databases razendsnel kunnen aanbieden.

Bij een memcached DDoS aanval stuurt een hacker een pakketje van ongeveer 15 byte namens het slachtoffer naar een server door het IP-adres van het slachtoffer te faken. In ruil voor dit door de memcached ontvangen pakketje stuurt de memcached-server een pakketje terug naar het slachtoffer, bijvoorbeeld een webwinkel, dat 50.000 keer groter is, zo’n 750 kilobyte. Wanneer het slachtoffer een stortvloed aan dergelijke verzoeken krijgt en deze niet aankan, gaat de site plat. Tijdens de recente aanvallen zouden pieken gesignaleerd zijn van 400 Gbit/s.

Veel sterker dan een ‘Amplification attack’

Memcached DDoS is een soort ‘amplification attack’ (afbeelding), maar dan vele malen sterker dan varianten die tot nu toe zijn waargenomen. Bij een amplification attack stuurt de aanvaller vanuit het overgenomen systeem DNS-verzoeken naar een groot aantal legitieme servers. Wanneer deze servers hierop antwoorden richting het overgenomen systeem, ontstaat een versterking van de aanval.

memcached DDoS aanval

Kwetsbaarheid memcached servers

Normaal gesproken zijn memcached-servers niet publiekelijk toegankelijk. Door een foute configuratie kunnen deze toch beschikbaar komen voor kwaadwillenden, zoals bij deze aanvallen is gebeurd. In Nederland bevinden zich zo’n 3000 publiek toegankelijke memcached-systemen. Wereldwijd gaat het om ongeveer 88.000 publieke memcached-servers.

Meer info

Onze experts onderzoeken momenteel deze aanvallen voor meer informatie. We komen hier dan ook later uitgebreider op terug. Ondertussen verwijzen wij voor meer informatie over DDoS-aanvallen naar onze eerder gepubliceerde blogs:

Blog: wat is een DDoS-aanval?
Blog: DDoS-aanval: iedereen kan het

Meer over de Anti-DDoS dienst van KPN