"Memcached Amplification Attack" Angreifer setzten neuen Methode ein, um Seite lahm zu legen

Welche Ausmaße gezielte Angriffe im Internet mittlerweile angenommen haben, zeigt ein Angriff auf den Online-Dienst Github, der Software-Entwicklungsprojekte auf seinen Servern bereitstellt. Wie Wired berichtet, war er Ziel der bisher größten Distributed-Denial-of-Service-(DDoS-)Attacke, die das Netz bisher gesehen hat. Dabei wurden durchaus beeindruckende 1,35 Terabit Daten pro Sekunde auf den Anbieter losgelassen, um dessen Services vollständig vom Netz zu nehmen.

Mit Hilfe von des Dienstleisters Akamai konnte der Angriff nach acht Minuten beendet werden. Das Unternehmen bietet Hilfestellung bei der Abwehr von DDoS-Angriffen an.

foto: akamai Grafik von Akamai

Der bisherige Rekordhalter war ein Angriff auf den großen Domain Name System (DNS)-Dienstleister Dyn, der immerhin 1,2 Terabit Daten pro Sekunde erreichte und Teile des Internet lahmlegte, da Anbieter wie Twitter oder Spotify das Service von Dyn nutzten.

Memcached Amplification Attack

Bei einem DDOS-Angriff bringen Hacker einen Internetdienst durch massenhafte Anfragen aus einer Vielzahl unterschiedlicher Quellen zum Zusammenbruch. Bei dem Angriff auf Github kam eine neue Methode zum Einsatz. Die Angreifer führenden eine sogenannte "Memcached Amplification Attack" durch.

Memcached-Server dienen zur Beschleunigung von dynamischen Web-Applikationen, da Objekte und andere Daten im Hauptspeicher des Servers zwischengelagert werden können. Die Angreifer nutzen hierbei schlecht abgesicherte Installationen des Open-Source Caching-Systems aus: Es ist ungesichert über UDP-Port 11211 erreichbar, um Daten zu lesen/schreiben, aber auch um Statistiken abzufragen, wie die deutsche DDoS-Schutzfirma Link11 schreibt. Diese öffentlich erreichbare Memcached-Installationen werden als "Verstärker" genutzt.

Öffentlich erreichbare Memcached-Installationen

Der Angriff an sich erfolgt relativ einfach: Zuerst werden potentielle Verstärker gesucht. Dies geschieht mittels UDP-Internetscans auf Port 11211. Der Angreifer stellt nun (zehn)tausende von Anfragen an die entsprechenden Server und nutzt dabei die IP Adresse des Angriffsziels als Absender-IP, so dass die Antworten der Memcached-Instanzen nicht an den Angreifer selbst, sondern in Richtung des Angriffsziels gesendet werden.(Zehn)tausende von Antworten werden dadurch von den Memcached Hosts in Richtung des Angriffsziels gesendet und bringen diesen in Bedrängnis.

Nutzer von Memcached-Server müssen also ihre Server schleunigst absichern, damit diese nicht für Angriffe missbraucht werden. (sum, 2.3.2018)