DDoS-Bedrohungen

Memcached Amplification: DDoS Attacken bleiben eine ernstzunehmende Gefahr

, München, Imperva | Autor: Herbert Wieler

Memcached Amplification: DDoS Attacken bleiben eine ernstzunehmende Gefahr

DDoS Attacke auf Github

Vor kurzem wurde bekannt, dass Github, ein Filehoster für Softwareprojekte, Opfer einer DDoS-Attacke wurde. Der Angriff mithilfe von Memcached-Servern auf Github könnte der Startschuss für eine neue Ära von DDoS-Attacken sein.

Piotr Kluczwajd, AVP Central Europe bei Imperva

Nach Bekanntwerden wurden diverse Skriptbaukästen veröffentlicht, mit denen auch technische Laien DDoS-Attacken planen und ausführen können. Da eine DDoS-Attacke den Straftatbestand der Computersabotage erfüllt, sollten an dieser Stelle alle potenziellen Nutzer gewarnt sein, diese Baukästen zu benutzen. Trotzdessen dürfte die leichte Verfügbarkeit von DDoS-Tools in Zukunft für eine Zunahme von Angriffen dieser Art sorgen.

Auch die Stärke der Attacke stellt einen neuen Rekord auf: Zeitweise wurden bis zu 1,4 TBit/s erreicht. Als kritisch erwies sich hier die Verwendung von Memcached-Servern: Eigentlich dienen diese dazu, Zwischenergebnisse für andere Server bereitzustellen. Die Rückverfolgung solcher Attacken wird somit weiter erschwert.

Das Team der Imperva Security-Forscher entdeckte erstmals am 21. Februar, also eine Woche vor Bekanntwerden der Github-Attacke, eine memcached-basierte Amplification Attacke auf einen Kunden von Incapsula und entschärfte anschließend mehrere groß angelegte DDoS-Angriffe dieser Art auf weitere Incapsula-Kunden. Im Zuge dessen kam es weder zu Ausfallzeiten noch zu Unterbrechungen der Erreichbarkeit der Websiten.

Das Sicherheitsforschungsteam von Imperva hält fest, dass diese memcache-basierten Angriffe ohne eine effektive DDoS-Abwehrlösung nicht abgemildert werden können. Die beträchtlichen Daten- und Paketraten, die durch diese Angriffe erzeugt werden, drohen sonst die Edge-Router zu überfordern, bevor der Datenverkehr den vorgesehenen Server erreichen kann. Das Imperva Sicherheits- und Netzwerkteam ist darauf vorbereitet, die größten und komplexesten DDoS-Attacken, wie die kürzlich entdeckten memcache-basierten Angriffe, zu finden und abzuschwächen. Vor den groß angelegten Angriffen vom 28. Februar wurden für Imperva Incapsula bereits Maßnahmen zur Abwehr von memcache-basierten Amplification Attacken eingeführt.

Angesichts der neuen Dimension dieser Art von Attacken müssen Unternehmen die Gefahr ernst nehmen und Schutzprogramme implementieren, die speziell auf DDoS-Angriffe zugeschnitten sind. Lösungen mit einem ganzheitlichen Ansatz vereinen idealerweise einen effektiven Website-Schutz, einen Infrastruktur-Security sowie einen Nameserver (NS)-Schutz. Ein Website-Schutz hilft dahingehend, dass Angriffe auf Websites und Webanwendungen automatisch erkannt und minimiert werden und somit Seiten kontinuierlich vor DDoS-Angriffen geschützt sind. Ein wirksamer Infrastruktur-Schutz sorgt für effektive Abwehr gegen DDoS-Attacken auf die Netzwerkinfrastruktur und kann im Idealfall ganze Subnetze oder aber einzelner IP-Adressen absichern. Letztlich sollte eine DDoS-Lösung kontinuierlichen Schutz für den Nameserver (NS) bieten, indem er DNS-Server vor Angriffen auf Netzwerk und Anwendungsschicht abschirmt und im besten Fall die DNS-Reaktionszeit erhöht. Mithilfe einer ganzheitlich ausgerichteten Lösung sind Unternehmen auch gegen diese neue Art von DDoS-Angriffen per Memcached Amplification gerüstet.