De DDoS-aanvallen die we de laatste paar jaar het vaakst zien in het wild worden uitgevoerd via botnets. Tienduizenden bots genereren elk requests, waardoor een server wordt overvallen door veel verzoeken tegelijkertijd.

De methode via memcached is een amplification-aanval die we zo'n vijf jaar geleden erg vaak zagen via kwetsbare DNS-servers. Bij zo'n aanval wordt een third party-server gevraagd om een grotere respons dan de originele vraag. Die grotere pakketjes worden vervolgens verstuurd naar een door de aanvaller gespecificeerd IP-adres.

Wat is een Memcached-DDoS?

Die third party-server wordt dus zelf niet geDDoSt, maar wordt ingezet als de uitvoerder van de aanval. En dat geldt nu dus ook voor kwetsbare servers met memchached, een servertool om databases in het werkgeheugen te cachen, zodat API's niet steeds dezelfde informatie opnieuw hoeven op te halen.

Memcached is te benaderen via UDP/11211, die de meeste serverbeheerders wel blokkeren. Maar een zoektocht op Shodan leerde dat er meer dan 80.000 van deze systemen te benaderen zijn via de openstaande poort.

Bij de meeste methodes levert een amplification pakketjes op die tien tot twintig keer groter zijn dan de originele request, maar bij de memcached-methode kunnen pakketjes enkele duizenden keren worden vergroot. Eén misbruikte memcached-server kan met een request van 1 MB daarom een golf opleveren van enkele tienduizenden Mbps of meer.

Enorme groei

Bij een aanval in februari werden 6000 servers ingezet, wat een verkeerspiek opleverde van 500 Gbps, meldde Cloudflare vorige week. GitHub was vorige week slachtoffer van een aanval met de memchached-DDoS-methode die pieken van 1,35 Tbps bereikte.

De methode werd in 2014 gepresenteerd op beveiligingscongres Black Hat (PDF), maar werd eind vorig jaar voor het eerst in het wild gesignaleerd. Na meldingen over de groei van memcached-amplification, steeg het relatief nieuwe type DDoS-aanval nog verder.

Poorten blokkeren

Vorige week rees het aantal aanvallen van enkele tientallen per dag rap naar honderden en momenteel zitten we op duizenden. Dat is nog steeds een fractie van het totale DDoS-verkeer, dus dit probleem heeft nog voldoende ruimte om te groeien.

Beveiligers verzochten vorige week dringend dat serverbeheerders memcached achter een firewall plaatsen, maar dat is geen goede kortetermijnstrategie met meer dan 80.000 kwetsbare servers en de huidige zeer snelle stijging in de hoeveelheid aanvallen, waardoor een groot probleem dreigt. Daarom worden providers en webhosters nu verzocht om de door memcached gebruikte UDP-poort (11211) te blokkeren.