Schutz vor Memcached-Amplification-DDoS-Attacken
Kürzlich wurde mit 1.7 Terabit pro Sekunde ein neuer DDoS-Rekord erstellt. Dieser basierte auf dem Missbrauch falsch konfigurierter Memcached-Server als Reflektoren. Wie kann man sich vor einer solchen Attacke schützen?
DDoS-Attacken sind nach wie vor ein beliebtes Instrument von Cyberkriminellen und werden u.a. für Erpressungen eingesetzt. Bei den grossen Attacken der letzten Wochen wurden falsch konfigurierte Memcached-Server als Reflektoren benutzt, bzw. als Verstärker missbraucht. Memcached-Server zeichnen sich dadurch aus, dass sie superschnell sind weil Ihre Datenbanken sich im RAM befinden und so der Zugriff auf den Arbeitsspeicher direkt erfolgt. Zudem sind sie in der Regel sehr stabil und brauchen nur ein Minimum an Rechenleistung. Doch sie sind nicht für im Internet frei verfügbare Systeme gedacht. Sind sie trotzdem derart konfiguriert, können Memcached-Server relativ einfach aufgespürt und bei Verstärkungsangriffen der Sorte „Memcached Reflection Attacks“ missbraucht werden.
Es gibt verschiedene Massnahmen, mit denen man sich vor solchen Attacken schützen kann:
Memcached-Server richtig konfigurieren
Die nachhaltigste Lösung ist, dafür zu sorgen, dass Memcached-Server nicht aus dem öffentlichen Netz erreichbar sind. Dafür kann man zwar in den eigenen Umgebungen sorgen, aber nicht in fremden. Also muss das Bewusstsein für die Problematik gefördert werden.
Mitigation im eigenen Netz
DDoS-Appliances können Attacken automatisch mitigieren. aspectra setzt dafür spezielle Geräte ein, die noch vor den Frontroutern sämtlichen Verkehr überprüfen und bei einem Angriff die entsprechenden Pakete blockieren.
Mitigation über die Cloud
Sogenannte Scrubbing-Center in der Cloud reinigen den Verkehr noch bevor er über die Uplinks auf die eigenen Router trifft. aspectra ist dafür eine Partnerschaft mit Akamai eingegangen. Neben der DDoS-Mitigation bietet Akamai noch viele weitere Services, die die eigenen Systeme schützen und entlasten.
Weiterführende Links: