De siste ukene har det blitt utført en rekke DDoS-angrep basert på Memcached-servere som ligger åpent tilgjengelig på internett.
De siste ukene har det blitt utført en rekke DDoS-angrep basert på Memcached-servere som ligger åpent tilgjengelig på internett. (Bilde: Colourbox)

Memcrashed

Rekorden varte ikke lenge: Nytt, massivt DDoS-angrep har blitt avverget

Den berørte aktøren hadde allerede sikret seg mot slike angrep.

En ikke navngitt kunde av en heller ikke navngitt, amerikansk tjenesteleverandør ble i begynnelsen av mars utsatt for et distribuert tjenestenektangrep (DDoS) med en samlet kapasitet på 1,7 terabit per sekund. 

Dette er nesten 31 prosent større trafikk enn det som ble generert i angrepet mot Github den 28. februar, altså onsdag i forrige uke. Det nye angrepet omtales av blant annet The Register.

Bakgrunn: Aldri har noen blitt utsatt for et kraftigere DDoS-angrep

Ingen nedetid

Til tross for størrelsen, skal ikke det nye angrepet ha ført til nedetid for aktøren som ble angrepet. Dette opplyser Netscout Arbor, et selskap som tilbyr tjenester som beskytter nettbaserte tjenester mot slike angrep. I dette tilfellet skal beskyttelsen ha fungert svært godt. 

Ifølge Netscout Arbor skal angrepet ha blitt utført på samme måte som angrepet mot Github. Det var altså et refleksjons-/forsterkningsangrep basert på Memcached-servere som ligger åpent tilgjengelig på internett. 

Diagram over størrelsen på DDoS-angrep opplevd at Netscout Arbor fra 2007 til mars 2018.
Det nye angrepet var nesten tre ganger større enn det største angrepet Netscout Arbor hadde opplevd fra til da. Illustrasjon: Netscout Arbor

Ifølge dette Shodan-søket, som har blitt generert av Bleeping Computer, er det mer enn 105 000 Memcached-servere åpent tilgjengelig via internett. Noen svært få av disse, omtrent 50, er lokalisert i Norge. USA og Kina er de eneste landene med et femsifret antall slike servere tilgjengelig via internett. 

Bruk brannmuren

Ifølge The Register skal det ikke mye til for å begrense slike angrep. Ifølge The Register dreier det seg vanligvis om UDP-trafikk fra port 11211. Med mindre virksomheten faktisk har behov for å bruke denne porten, bør den sperres i begge retninger i brannmuren.

Normalt kommuniserer Memcached-klienter med serveren ved hjelp av TCP-protokollen, ikke UDP.

Uansett er det ingen grunn til at Memcached-servere skal være alle og enhver på internett, noe som betyr at alle som administrerer Memcached-servere bør dobbeltsjekke at de ikke er tilgjengelige for alle på utsiden av brannmuren.

– Inntil internettfellesskapet er i stand til å innrette seg og gjøre betydelig framgang når det gjelder Memcached-servere, kan vi regne med at terabit-angrepene vil fortsette, skriver Netscout Arbor.

Leste du denne? Venter mange DDoS-angrep fra bredbånds­rutere etter publisering av angrepskode

Nyhet! 50% mer innhold i Digi Ekstra til lavere pris!

Få 700,- i rabatt

Bestill innen 1. september

Kommentarer (1)

Kommentarer (1)
Til toppen