Memcached kann Websites beschleunigen, aber ein Memcached-Server kann auch ausgenutzt werden, um einen DDoS-Angriff auszuführen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist ein DDoS-Angriff?
Was ist ein Denial-of-Service-Angriff?
Malware
DNS-Amplification-Angriff
SYN-Flood-Angriff
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein verteilter Memcached-Denial-of-Service-(DDoS)-Angriff ist ein Cyberangriffstyp, bei dem ein Angreifer versucht, ein Opfer mit Internet-Traffic zu überfluten. Der Angreifer spooft Anfragen an einen anfälligen UDP-Memcached*-Server, der dann ein Opfer mit Internet-Traffic überflutet und die Ressourcen des Opfers potentiell überlastet. Während die Internet-Infrastruktur des Opfers überlastet ist, können keine neuen Anfragen bearbeitet werden, und regulärer Traffic kann nicht auf die Internet-Ressource zugreifen, was zu einem Denial-of-Service führt.
*Memcached ist ein Datenbank-Caching-System zur Beschleunigung von Websites und Netzwerken.
Hier sind Rechenzentren in Cloudflares globalem Netzwerk und der relative Umfang von Memcached-Angriffs-Traffic, den sie während eines kürzlichen Angriffs empfangen haben.
Ein Memcached-Angriff läuft ähnlich wie alle DDoS-Amplification-Angriffe wie z. B. NTP-Amplification und DNS-Amplification ab. Bei dem Angriff werden gespoofte Anfragen an einen anfälligen Server gesendet, der dann mit einer Datenmenge antwortet, die größer ist als die ursprüngliche Anfrage, wodurch das Traffic-Volumen vergrößert wird.
Memcached-Amplification kann mit einem böswilligen Teenager verglichen werden, der ein Restaurant anruft und sagt: „Ich möchte von jedem etwas. Bitte rufen Sie mich zurück und nennen Sie mir die gesamte Bestellung.“ Wenn das Restaurant nach einer Rückrufnummer fragt, wird die Telefonnummer des Opfers angegeben. Das Opfer erhält dann einen Anruf vom Restaurant mit vielen Informationen, die es nicht angefragt hat.
Diese Amplification-Angriffsmethode ist möglich, weil Memcached-Server über die Option verfügen, mit dem UDP-Protokoll zu laufen. UDP ist ein Netzwerkprotokoll, das das Senden von Daten zulässt, ohne zuerst einen sogenannten Handshake zu erhalten. Dabei handelt es sich um einen Netzwerkprozess, bei dem beide Seiten der Kommunikation zustimmen. UDP wird eingesetzt, weil der Zielhost nie gefragt wird, ob er zum Empfang der Daten bereit ist oder nicht. So kann ohne vorherige Zustimmung eine massive Datenmenge an die Zieladresse gesendet werden.
Ein Memcached-Angriff erfolgt in 4 Schritten:
Dies ist ein bekämpfter Memcached-Angriff mit 260 GB pro Sekunde auf Cloudflares Netzwerk
Der Vergrößerungsfaktor dieses Angriffstyps ist wirklich erstaunlich. In der Praxis haben wir Verstärkungsfaktoren bis zum 51.200-Fachen erlebt! Das bedeutet, dass für eine 15-Byte-Anfrage eine 750-kB-Antwort gesendet werden kann. Das stellt einen gewaltigen Verstärkungsfaktor und ein enormes Sicherheitsrisiko für Websites dar, die ein derartiges Volumen von Angriffs-Traffic nicht handhaben können. Durch das Zusammenspiel eines so großen Verstärkungsfaktors mit anfälligen Servern wird Memcached zu einem primären Anwendungsfall für Angreifer, die einen DDoS-Angriff auf unterschiedliche Ziele starten wollen.
Cloudflare filtert UDP-Traffic an unserer Netzwerk-Edge, wodurch das durch Amplification-Angriffe dargestellte Risiko wie das vorliegende beseitigt wird. Entdecken Sie Cloudflares erweiterten DDoS-Schutz.
Für eine gründlichere Darstellung zu Cloudflares Behandlung von Memcached-Angriffen sowie speziellen Befehlen und Prozessen zur Bekämpfung empfehlen wir den Blogbeitrag Memcrashed – schwere Amplification-Angriffe von UDP-Port 11211.