02.03.2018 15:21

DDoS-Reflection mit Memcached

Auf diesen Seiten war schon viel über DDoS zu lesen, insbesondere der Variante, bei der schlecht betriebene Services im Netz sich als Reflektoren/Verstärker missbrauchen lassen. Übliche Vektoren in den letzten Jahren waren DNS, NTP, SSDP, SNMP und auch LDAP. Jetzt ist hier was neues am Radar aufgetaucht: Memcached.

Auch hier gilt vorab: es gibt so gut wie keinen Grund, dass Memcached Server überhaupt aus dem offenen Internet aus ansprechbar sind, da sie nur intern zur Performanceoptimierung von komplexen Webseiten eingesetzt werden. Weiters werden sie oft komplett ohne Zugriffsschutz betrieben, was Datendiebstahl oder Manipulation einfach macht. Aus diesem Grund warnen wir schon länger alle Betreiber, die eine Memcached Instanz offen im Netz laufen haben.

Aber neben TCP kann Memcached auch UDP, und hier fängt der Spass an. Damit gibt es keine Validierung der IP-Adresse des Clients und bei einer maximalen Antwortgröße von 1 MB sind diese Server perfekte DDoS-Verstärker.

Gestern kam die Meldung, dass erste heftig DDoS-Angriffe per Memcached-Reflection beobachtet wurden.

Links dazu:

Empfehlungen:

  • Wer so ein Teil einsetzt: Bitte per Firewall vom Internet trennen.
  • Netzbetreiber/ISPs sollten Pakete mit UDP Source Port 11211 als potentiellen DDoS einstufen und entsprechend in diverse Filter bzw. Rate-Limits aufnehmen. Insbesondere Infrastructure ACLs (iACLs) sollten entsprechend angepasst werden. Siehe auch hier, wobei ich Rate-Limits harten Blocks deutlich vorziehe.
  • Firmen sollten bei ihren DDoS-Abwehr überprüfen, ob Port 11211 analog zu anderen missbrauchbaren Protokollen behandelt wird.

Status in Österreich

Es liegt uns noch kein Bericht vor, dass dieser Vektor bei einem DDoS auf hiesige Ziele benutzt wurde.

Wir bekommen schon lange Scan-Ergebnisse von Shadowserver zu offenen Memcached Instanzen in Österreich, die wir auch an die Netzbetreiber weiterverteilen. Das waren in letzter Zeit immer so rund 50 IP Adressen, die per TCP auf Port 11211 antworten. Mit dem heutigen Report wird erstmals auch inkludiert, wer auf UDP Port 11211 lauscht und damit für DDoS Reflection anfällig sein könnte. Das sind aktuell 32 IP-Adressen (aus 20 ASN) in Österreich.

Ausblick

Der Verstärkungsfaktor ist potentiell sehr hoch. Das ist einerseits böse, da damit sehr potente DDoS-Angriffe entstehen können, andererseits haben wir bei ntp monlist gelernt, dass damit auch der Leidensdruck der Reflektoren schnell hoch wird, und das damit das Ganze schnell aufgeräumt werden wird.

Autor: Otmar Lendl