Wer memcached beim Betrieb von Webseiten verwendet, sollte seine Konfiguration überprüfen. Das Tool kann für DDoS-Angriffe benutzt werden, wie gerade bekannt geworden ist. Ergänzung: Inzwischen sind DDoS-Angriffe auf Github bekannt geworden.
Anzeige
Ich weiß nicht, wie viele Blog-Leser/innen memcached verwenden, nehme es aber mal als Information in einem Kurzbeitrag auf
Was ist memcached?
Hinter dem Begriff memcached verbirgt sich ein Cache-Server, der unter BSD-Lizenz veröffentlicht wurde. Die Software kommt häufiger zum Einsatz, um Internetseiten, die von einem Webserver ausgeliefert werden, im Cache zu halten, statt jedes Mal auf die Datenbank zuzugreifen. Eine ausführliche Erläuterung zu memcached bietet die Wikipedia.
Neuere Angriffsvektor für DoS-Angriffe
Ich bin bei The Register auf den Artikel Popular cache utility exploited for massive reflected DoS attacks gestoßen. Aber auch heise.de hat das Thema im Beitrag Memcached Amplification Attack: Neuer DDoS-Angriffsvektor aufgetaucht aufgegriffen.
Der deutschen Firma link11.com ist aufgefallen, dass es einen bisher unbekannten Angriffsweg gibt, um memcached für DDoS-Angriffe zu verwenden. Der memcached-Server wartet über Port 11211 auf Anfragen (des Webservers), um im Cache liegende Dateien an den anfordernden Client zu schicken. Dies spart dem Webserver Zeit – nur wenn die Seite nicht im Cache steckt, wird sie aus der Datenbank nachgeladen.
Anzeige
Laut Link11 sind eine ganze Reihe falsch konfigurierter memcached-Server über Port 11211 von beliebigen Stellen im Internet erreichbar. Angreifer nutzen nun eine Möglichkeit, Anfragen an diese falsch konfigurierten memcached-Server zu stellen. Die Antworten eines memcached-Servers werden aber an beliebige Webseiten umgeleitet (Redirection- oder Amplifikation-Angriffe).
Das hat gleich zwei Implikationen. Für die Angreifer ist nur wenig Aufwand und Netzwerkverkehr erforderlich (die stellen ja nur Anfragen an den Server), der dann die Datenlast ausliefert. So kann ein Client mit einer 1 Gbit/s-Leitung über 20 Gbit/s Traffic erzeugen und beim DDoS-Angriff auf Drittseiten von Opfern schicken. Gleichzeitig ist der Angreifer hinter dem Server versteckt, das Opfer sieht ja nur den missbrauchten memcached-Server als vermeintlichen Angreifer.
memcached-Server absichern
Administratoren, die einen memcached-Server betreiben, sollten dringend sicherstellen, dass dieser nicht öffentlich (über Port 11211) im Internet erreichbar ist. The Register fasst es kurz zusammen: Get it behind the firewall and turn off UDP. heise.de weist darüber hinaus darauf hin, dass bei solchen Angriffen auch vertrauliche Daten, die auf dem memcached-Server liegen, ausgelesen und beliebig verteilt werden könnten.
Ergänzung: Inzwischen sind massive DDoS-Angriffe auf GitHub bekannt geworden. Details finden sich im Blog-Beitrag Massive DDoS-Angriffe per memcached auf GitHub.
Anzeige