Populaire servertool misbruikt als katalysator voor DDoS-aanvallen
Memcached is een opensource-cachetool waarmee webapplicaties sneller geladen kunnen worden. Het cachen van objecten is vooral nuttig als je veel dynamische content hebt, zoals bij webshops. Helaas is er ook een keerzijde van het medaillon, want zo zou deze software ook een katalysator zijn voor distributed denial of service (DDoS)-aanvallers.
DDoS-aanval
Vorige maand gaven we al wat meer uitleg over wat een DDoS-aanval juist is. Met zo’n cyberaanval kan een kwaadwillende een website of online dienst offline kan halen, zonder dat hij of zij de dienst daarvoor hoeft te hacken. Zelfs een volledig geüpdatete en goed beveiligde bedrijfswebsite is dus kwetsbaar. Bij een denial of service aanval probeert een hacker de toegang tot een website onbereikbaar te maken door die te overspoelen met valse trafiek. Meestal zijn DNS-servers het doelwit van cybercriminelen, maar nu hebben ze een nieuwe methode gevonden.
Overload met factor 50.000
De online dienst Cloudflare meldt dat er onlangs aanvallen zijn waargenomen via zogenaamde ‘open memcached’-servers. Op het internet zouden er zo’n 88.000 van die servers voorhanden zijn, die voornamelijk gehuisvest zijn in de Verenigde Staten, China en Europa bij grote hostingproviders. Volgens Cloudflare zouden er zo’n 5.700 servers betrokken zijn.
De aanvallers gaan als volgt te werk. Eerst sturen de cyberboefjes pakketjes van zo’n 15 byte groot namens het doelwit (bijvoorbeeld een webwinkel) naar een server door het IP-adres te faken. De memcached-servers sturen in ruil pakketjes terug naar die webwinkel die maar liefst 50.000 (!) keer groter zijn, elk goed voor zo’n 750 kilobyte. Het spreekt voor zich dat die webwinkel die overload niet aankan en zo offline gaat. Met relatief weinig bandbreedte kan een aanvaller zo een grote aanval op poten zetten. Er zouden pieken gesignaleerd zijn van 260 Gbit/s en 400 Gbit/s.
Servers beveiligen is de boodschap
Cloudflare onderstreept met verve dat het belangrijk is om de servers te beveiligen. Als de UDP niet wordt gebruikt, is het best om deze uit te schakelen. Word je website aangevallen door een DDoS-aanval via deze memcached-servers, blokkeer dan zo snel mogelijk alle trafiek via poort 11211 en neem contact op met je provider. Gelukkig maken memcached-aanvallen slechts een klein deel uit (0,3%) van de totale koek aan DDoS-aanvallen.