Neue Rekord-DDoS-Attacke mit 1,35 Terabit/s auf Github

Neue Rekord-DDoS-Attacke mit 1,35 Terabit/s auf Github

Die Online Entwicklerplattform Github wurde Ende Februar erneut durch eine DDoS-Attacke lahmgelegt. Die dabei eingesetzte, erst seit kurzem bekannte Memcached-Technik ist sehr effektiv und wird wohl nicht die letzte ihrer Art gewesen sein.

 

 

Neuartige Angriffsmethode führt zu bisher größter öffentlich bekannter DDoS-Attacke

Durch einen jüngst entdeckten Angriffsvektor haben es Angreifer vor knapp drei Wochen geschafft, eine neue DDoS-Rekordbandbreite aufzustellen und die bis dato größte dokumentierte DDoS-Attacke im Oktober 2016 auf den DNS Dienstleister Dyn mit damals 1,2 Terabit/st zu übertreffen. Durch den neuen Angriffsvektor anhand Memcached Servern wurde laut einem Blogeintrag der Github-Macher bei dem DDoS-Angriff auf Github in der Spitze 1,35 Terabit/s gemessen, eine zweite Spitze kurze Zeit später konnte immer noch 400 Gigabit pro Sekunde erreichen. Zwar besitzt Github einen DDoS-Schutz, dieser setzte aber erst nach einigen Minuten ein, weshalb einige Dienste zeitweise nicht verfügbar waren. Nach circa acht Minuten war der Angriff schließlich vorüber. Und nur ein paar Tage darauf gab es den nächsten Anschlag mit 1,7 Terabit/s bei einer noch unbenannten US-Firma, welche jedoch keinen Ausfall meldete. Github versicherte, dass die Daten von Nutzern zu keinem Zeitpunkt gefährdet waren. Für die Zukunft plant Github seine DDoS-Abwehr so zu optimieren, dass Schutzmechanismen automatisch anspringen. Denn der Angriff auf die Entwicklerplattform war nicht der erste: Github steht immer wieder unter Beschuss, zuletzt im März 2015.

 

 

Das Vorgehen der Angreifer bei Memcached Amplification Attacken

Memcached ist eine Open-Source-Software, die viele Organisationen auf ihren Servern installieren. Das Zwischenlagern von Daten im Hauptspeicher des Servers entlastet die Datenbank und beschleunigt somit dynamische Web-Applikationen. Die Software ist leistungsstark und seine Application-Programming-Interface (API) für die meisten gängigen Programmiersprachen verfügbar. In der Standardkonfiguration des Memcached-Servers ist der UDP-Port 11211 für externe Verbindungen zugänglich. Ist dieser Port also nicht über eine Firewall geschützt, suchen Angreifer mittels UDP-Internetscan auf Port 11211 nach schlecht abgesicherten Memcached-Installationen und missbrauchen Memcached Server als „Verstärker“ für DDoS-Attacken. Wird der Port angefragt, sendet der Server ein Objekt mit einer Länge von bis zu 1.400 Byte zurück. Dadurch werden Objekte „reflektiert“ und der eingehende Traffic deutlich verstärkt. Für eine Attacke stellt der Angreifer (zehn)tausende Anfragen an die entsprechenden Server. Dabei tarnt er sich mit der IP-Adresse des Angriffsziels und nutzt diese als Absender-IP. Die Memcached-Instanzen antworten somit nicht dem Angreifer selbst, sondern der IP-Adresse des Angriffsziels. Der Ziel-Dienst erhält dadurch eine immense Traffic-Menge, die ungeschützte Server nicht verarbeiten können – der Dienst ist offline und der Angreifer hat sein Ziel erreicht.

 

 

Weltweit auffindbare Memcached Server erlauben ein 51.000-faches Angriffssvolumen

Neue Verstärkungsvektoren, welche große Angriffsvolumen erlauben, werden nur selten entdeckt. Memcached Versionen bis 1.5.6 ermöglichen DDoS-Attacken mit einem Verstärkungsfaktor bis zum 51.000-Fachen. Sie begrenzen die Menge an eingehenden Netzwerknachrichten über das Protokoll UDP auf Port 11211 nicht ausreichend und antworten auf entsprechende Anfragen mit einer weitaus größeren Datenmenge. So werden aus einem einzigen Byte ganze 51 Kilobyte. Sofern sich Angreifer Server aussuchen, die sehr große Datenmengen verschicken können, können sie bereits mit begrenztem IP-Spoofing vergleichsweise massive Attacken ausrichten. Angreifbare Memcached Server gibt es überall auf der Welt (120+ Punkte), insbesondere bei großen Internetdienstanbietern in den Regionen Nordamerika und Europa. Abgesehen davon sind im Internet insgesamt rund 50.000 für Schwachstellen anfällige Server bekannt, die Verbindungen aus dem Internet über Port 11211 sowie UDP akzeptieren und einer Bedrohung ausgesetzt sind.

 

 

Hohes Gefahrenrisiko auch für die Zukunft

Da die Memcached-Technik sehr effektiv ist, werden Angreifer in Zukunft wohl häufiger zu diesem Tool greifen. Um solche Attacken zu vermeiden, müssen angreifbare Protokolle abgesichert und IP-Spoofing verhindert werden, sodass Server nicht für Angriffe ausgenutzt werden können. Myra bietet andere Methoden um dynamische Web-Applikationen zu beschleunigen, die nicht auf Memcached Servern basieren. Zudem wird beim DDoS-Schutz von Myra die IP-Adresse des zu schützenden Dienstes hinter einer sicheren Myra-IP „versteckt“. Die Original-IP-Adresse ist somit nicht mehr öffentlich sichtbar – und damit auch nicht für Angriffe zu missbrauchen.

Keine Kommentare möglich.