DDoS-Attacken Rekord mit mehr als 1,7 Terabit pro Sekunde

DDoS - Bild von Fotolia Monthly M

DDoS

Als nach dem rekordverdächtigen 1,35 Tbps Github DDoS-Angriff mehr verstärkte Angriffe erwartet wurden , hat jemand gerade nach vier Tagen einen neuen Rekord aufgestellt – 1,7 Tbps DDoS-Angriff.

Das Netzwerksicherheits- und Überwachungsunternehmen Arbor Networks behauptet, dass sein globales ATLAS-Verkehrs- und DDoS-Bedrohungsdatensystem einen 1,7 Tbps-Reflektions- / Verstärkungs-Angriff gegen eine seiner US-basierten Kunden-Webseiten aufgezeichnet hat.

Ähnlich wie bei der DDoS-Attacke der letzten Woche auf GitHub wurde die enorme Bandbreite des letzten Angriffs um den Faktor 51.000 erhöht, indem tausende falsch konfigurierte Memcached-Server im Internet eingesetzt wurden.

Memcached

Memcached, ein beliebtes Open-Source-Caching-System für verteilte Speicher, kam letzte Woche in die Schlagzeilen, als Forscher ausführlich darlegten, wie Angreifer sie missbrauchen können, um eine DDoS-Attacke zu starten, indem sie eine gefälschte Anfrage an den adressierten Memcached-Server an Port 11211 mit einer gefälschten IP-Adresse senden.

Ein paar Bytes der Anfrage, die an den anfälligen Server gesendet werden, können eine zehntausend Mal größere Antwort auf die Ziel-IP-Adresse auslösen, was zu einem mächtigen DDoS-Angriff führt.

Unterdessen stellten Forscher fest, dass Cyber-Kriminelle begonnen haben, die DDoS-Angriffe durch verwundbare Memcached Server als Waffe zu nutzen, um Geld von Opfern zu erpressen.

Nach dem 1,3-TBit-DDoS-Angriff gegen GitHub in der vergangenen Woche, sagte Akamai, dass seine Kunden Erpressungsnachrichten neben den typischen „Ramsch-gefüllten“ Angriffs-Payloads erhalten und sie nach 50 XMR (Monero-Münzen) im Wert von über 15.000 Dollar gefragt wurden.

Die Angriffe sind nicht neu. Angreifer haben zuvor DDoS-Angriffstechniken mit Reflection / Amplification verwendet, um Fehler in DNS , NTP, Chargen und anderen Protokollen ausgenutzt, um das Ausmaß ihrer Cyber-Angriffe zu maximieren.

Der neueste Angriffsvektor deckt jedoch tausende von falsch konfigurierten Memcached-Servern auf, von denen viele noch im Internet verfügbar sind und die dazu genutzt werden könnten, potentiell massivere Angriffe gegen andere Ziele zu starten. Erwarten Sie daher, dass Sie in den kommenden Tagen weitere derartige Angriffe sehen werden.

Empfehlung

Um zu verhindern, dass Memcached-Server als Reflektoren missbraucht werden, empfehle ich Benutzern, eine Firewall zu installieren, die nur den Zugriff auf Memcached-Server aus dem lokalen Netzwerk ermöglicht.

Administratoren sollten außerdem in Betracht ziehen, externen Datenverkehr zu den von Memcached verwendeten Ports zu vermeiden (z. B. standardmäßig 11211-Port), UDP zu blockieren oder zu begrenzen oder die UDP-Unterstützung vollständig zu deaktivieren, wenn sie nicht verwendet wird.

Gruß
René

Bildquelle: Fotolia – Сake78

«

Leave a comment:

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.