DDoS-Warnung: Memcached Server werden für Hyper-Attacken ausgenutzt

Feb 272018, 2018

Seit dem 23. Februar treten massive DDoS-Attacken über UDP auf den Quellport 11211 auf. Nach Analysen des Link11 Security Operation Center (LSOC) erreichen die Angriffe über den bisher unbekannten Amplification-Vektor „Memcached Reflection“ sehr große Volumen, die im Peak über 400 Gbps hinausgehen. Das Verstärkungspotenzial ist hundertmal größer als bei DNS Reflection.

DDoS-Warnung: Memcached Server werden für Hyper-Attacken ausgenutzt
Link11 Security Operation Center © Eleven Pictures / Link11

Scans des LSOC nach öffentlich erreichbaren Memcached Servern ergaben über 5.000 Instanzen, die über die ganze Welt verteilt sind. So wie DNS- und NTP-Services können sie zur Verstärkung von Angriffen missbraucht werden. Die fehlende Zugriffskontrolle erleichtert den Angreifern den Missbrauch. Der Verstärkungsfaktor bei DNS liegt zwischen 28 und 54 und reicht bei NTP Reflection bis zu 500. Amplification durch Memcached Server kann nach Einschätzungen des LSOC leicht den Faktor Tausend übersteigen. Das US-CERT schätzt den „Bandwidth Amplification Factor“ auf 10.000 bis 51.000.

Weitere technische Details zum neuen Reflection-Vektor fasst der Eintrag im Link11 Security Blog: „New High-Volume Vector: Memcached Reflection Amplification Attacks“ zusammen.

Sind Sie von DDoS-Attacken betroffen?

Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!

Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!

Kontakt Link11 Security Operation Center (LSOC)

+49 (0)800-0011888
LSOC@link11.com

Link11 steht mit dem BSI - Allianz für Cybersicherheit und den Strafverfolgungsbehörden im Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.