{"id":201398,"date":"2018-03-01T09:20:55","date_gmt":"2018-03-01T08:20:55","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=201398"},"modified":"2018-03-02T09:21:38","modified_gmt":"2018-03-02T08:21:38","slug":"memcached-im-einsatz-kann-fr-ddos-genutzt-werden","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/03\/01\/memcached-im-einsatz-kann-fr-ddos-genutzt-werden\/","title":{"rendered":"Memcached im Einsatz? Kann für DDoS genutzt werden"},"content":{"rendered":"

Wer memcached beim Betrieb von Webseiten verwendet, sollte seine Konfiguration \u00fcberpr\u00fcfen. Das Tool kann f\u00fcr DDoS-Angriffe benutzt werden, wie gerade bekannt geworden ist. Erg\u00e4nzung:<\/strong> Inzwischen sind DDoS-Angriffe auf Github bekannt geworden.<\/p>\n

<\/p>\n

Ich wei\u00df nicht, wie viele Blog-Leser\/innen memcached verwenden, nehme es aber mal als Information in einem Kurzbeitrag auf<\/p>\n

Was ist memcached?<\/h2>\n

Hinter dem Begriff memcached verbirgt sich ein Cache-Server, der unter BSD-Lizenz ver\u00f6ffentlicht wurde. Die Software kommt h\u00e4ufiger zum Einsatz, um Internetseiten, die von einem Webserver ausgeliefert werden, im Cache zu halten, statt jedes Mal auf die Datenbank zuzugreifen. Eine ausf\u00fchrliche Erl\u00e4uterung zu memcached bietet die Wikipedia<\/a>.<\/p>\n

Neuere Angriffsvektor f\u00fcr DoS-Angriffe<\/h2>\n

Ich bin bei The Register auf den Artikel Popular cache utility exploited for massive reflected DoS attacks<\/a> gesto\u00dfen. Aber auch heise.de hat das Thema im Beitrag Memcached Amplification Attack: Neuer DDoS-Angriffsvektor aufgetaucht<\/a> aufgegriffen.<\/p>\n

Der deutschen Firma link11.com<\/a> ist aufgefallen, dass es einen bisher unbekannten Angriffsweg gibt, um memcached f\u00fcr DDoS-Angriffe zu verwenden. Der memcached-Server wartet \u00fcber Port 11211 auf Anfragen (des Webservers), um im Cache liegende Dateien an den anfordernden Client zu schicken. Dies spart dem Webserver Zeit \u2013 nur wenn die Seite nicht im Cache steckt, wird sie aus der Datenbank nachgeladen.<\/p>\n

Laut Link11 sind eine ganze Reihe falsch konfigurierter memcached-Server \u00fcber Port 11211 von beliebigen Stellen im Internet erreichbar. Angreifer nutzen nun eine M\u00f6glichkeit, Anfragen an diese falsch konfigurierten memcached-Server zu stellen. Die Antworten eines memcached-Servers werden aber an beliebige Webseiten umgeleitet (Redirection- oder Amplifikation-Angriffe).<\/p>\n

Das hat gleich zwei Implikationen. F\u00fcr die Angreifer ist nur wenig Aufwand und Netzwerkverkehr erforderlich (die stellen ja nur Anfragen an den Server), der dann die Datenlast ausliefert. So kann ein Client mit einer 1 Gbit\/s-Leitung \u00fcber 20 Gbit\/s Traffic erzeugen und beim DDoS-Angriff auf Drittseiten von Opfern schicken. Gleichzeitig ist der Angreifer hinter dem Server versteckt, das Opfer sieht ja nur den missbrauchten memcached-Server als vermeintlichen Angreifer.<\/p>\n

memcached-Server absichern<\/h2>\n

Administratoren, die einen memcached-Server betreiben, sollten dringend sicherstellen, dass dieser nicht \u00f6ffentlich (\u00fcber Port 11211) im Internet erreichbar ist. The Register fasst es kurz zusammen<\/a>: Get it behind the firewall and turn off UDP. heise.de weist dar\u00fcber hinaus darauf hin<\/a>, dass bei solchen Angriffen auch vertrauliche Daten, die auf dem memcached-Server liegen, ausgelesen und beliebig verteilt werden k\u00f6nnten.<\/p>\n

Erg\u00e4nzung: Inzwischen sind massive DDoS-Angriffe auf GitHub bekannt geworden. Details finden sich im Blog-Beitrag\u00a0Massive DDoS-Angriffe per memcached auf GitHub<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wer memcached beim Betrieb von Webseiten verwendet, sollte seine Konfiguration \u00fcberpr\u00fcfen. Das Tool kann f\u00fcr DDoS-Angriffe benutzt werden, wie gerade bekannt geworden ist. Erg\u00e4nzung: Inzwischen sind DDoS-Angriffe auf Github bekannt geworden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[908,426],"tags":[4328],"class_list":["post-201398","post","type-post","status-publish","format-standard","hentry","category-internet","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201398","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=201398"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201398\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=201398"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=201398"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=201398"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}