Memcached Amplification: Neue Hacker-Tools verursachen Rekord-DDoS-Angriffe

Kurz nach Bekanntwerden der neuartigen DDoS-Angriffstechnik Memcached Amplification Attack sind einfach zu bedienende Hacker-Baukästen aufgetaucht, die sich diese Technik zunutze machen. Das hat im Laufe einer einzigen Woche zum zweimaligen Aufstellen eines neuen DDoS-Bandbreitenrekords geführt. Beim ersten großen Angriff mit der neuen Technik wurden in der Spitze knapp 1,4 Terabit pro Sekunde auf die beliebte Quellcode-Hosting-Plattform Github losgelassen. Ein paar Tage später wurde eine bisher unbenannte US-Firma den Berichten von mehreren Sicherheitsfirmen zufolge mit ganzen 1,7 Terabit pro Sekunde beschossen.

Nun wird deutlich, dass die Angriffe wohl auf relativ komfortabel zu bedienende Skript-Baukästen zurückgehen, die eine Ziel-Webseite an Hand von Listen mit verwundbaren Memcached-Servern automatisch bombardieren. Eins dieser Skripte enthält dabei bereits eine Datei mit 17.000 kompromittierten Memcached-Installationen. Ein anderes Skript durchsucht mit Hilfe der Suchmaschine Shodan das Netz nach verwundbaren Systemen und bindet diese automatisch für Angriffe ein.

Das Auftauchen solcher einfach zu bedienenden Tools bedeutet, dass nun jeder Amateur mit einem Internetanschluss entsprechend mächtige Angriffe lostreten kann. Memcached-Admins sollten unbedingt sicherstellen, dass ihre Installationen nicht für solche Angriffe eingespannt werden können. Dafür könnte sich ein Blick auf Shodan oder in die bei den Skripten mitgelieferten Listen anbieten. Die verwundbaren Memcached-Server einzudämmen wird wohl auf absehbare Zeit das einzige wirksame Mittel gegen derartige Angriffe sein.

Distributed Denial of Service (DDoS) ist eine Angriffstechnik, bei der mehrere Angriffsrechner eine Ziel-Webseite mit Anfragen lahmlegen. Dafür gibt es eine ganze Reihe verschiedener Techniken, aber Amplification- oder Reflection-Angriffe sind besonders perfide – hier greift der Angreifer nicht direkt an, sondern bringt Drittserver von Unbeteiligten dazu, sein Ziel mit Traffic zu zuschütten. Das hat zum einen den Vorteil, dass der Angreifer sich hinter den Drittservern verstecken kann und des weiteren braucht er dafür viel weniger Bandbreite. So kann er seinen Angriffs-Traffic über die Drittserver radikal vervielfachen, so dass diese Angriffe beeindruckende Bandbreiten wie im Fall des Github-Angriffs erreichen können.

2018-03-08T14:12:18+00:00