Gestern fand der größte DDoS-Angriff in der Geschichte auf Github statt. Der Angriff ging von über tausend verschiedenen autonomen Systemen und von zehntausenden Servern aus. Es war ein Amplification-Angriff, welcher memcached nutzte und die Spitzenleistungen von 1.35Tbps via 126.9 Millionen Packets pro Sekunde erreichte.

Dieser voluminöse DDoS Angriff war durch das Generieren von UDP-basiertem memcached Traffic möglich.
Memcached ist eine freie und open-source Software, die Datenbank-betriebene Webseiten beschleunigen kann, indem Daten in RAM hochperformant gespeichert werden.

Die Angreifer haben manipulierte UDP-Packete an die öffentlich erreichbaren memcached Server gesendet. Dabei war die Sender-IP-Adresse nicht der tatsächliche Absender, sondern das Ziel des Angriffs. Dadurch antworteten die memcached Server an die Zieladresse des Angriffs. Diese Attacke hat eine 10,000:1 Amplification Ratio, das heißt im Durchschnitt wurden für jedes Byte, das ein Angreifer an den ungeschützten Memcached Server gesendet hat, 10 KB vom Server an das tatsächliche Opfer geschickt.

Wenn Sie memcached auf Ihren Servern betreiben, empfehlen unsere Netzwerk Administratoren Ihnen dringend den Remote Zugriff zu deaktivieren falls Sie diesen nicht benötigen und zusätzlich den Zugriff per Firwall abzusichern, sodass nur autorisierte Systeme Zugriff haben. Betroffen von dem Problem ist ausschließlich UDP, memcached über TCP ist hierfür nicht angreifbar. Bei Neuinstallationen ist die UDP-Verbindung standardmäßig deaktiviert, sodass diese von dem Problem nicht betroffen sind.

Sollten Sie dazu Hilfe benötigen oder Fragen haben, bitte einfach ein E-Mail an support [at] internex.at senden.