Memcached-Server im Einsatz? Dann überprüfen und ggf. absichern

Falls ihr für die Administration eines Webservers zuständig seid und einen memcached-Server im Einsatz habt, solltet ihr dessen Konfiguration überprüfen. Gerade ist bekannt geworden, dass falsch konfigurierte memcached-Server für DDoS-Angriffe (Redirection- oder Amplifikation-Angriffe) missbraucht werden. Wenn der eigene Server dazu gehört, könnte das problematisch werden.

Was ist ein memcached-Server?

Es handelt sich um eine Software, die unter BSD-Lizenz veröffentlicht wurde. Diese kommt häufiger zum Einsatz, um Internetseiten, die von einem Webserver ausgeliefert werden, im Cache zu halten. memcached wartet auf Port 11211 auf Anfragen (des Webservers), und liefert im Cache liegende Daten an den anfordernden Client. Solange die Daten im Cache liegen, spart dies dem Webserver Zeit – nur wenn die Seite nicht im Cache steckt, wird sie von memcached aus der Datenbank nachgeladen. Eine ausführliche Erläuterung zu memcached bietet die Wikipedia.

memcached-Server für DDoS-Angriffe missbraucht

Der deutschen Firma link11.com ist jetzt ein bisher unbekannter Angriffsweg aufgefallen, der memcached für DDoS-Angriffe verwendet. Falsch konfigurierte memcached-Server sind per Internet von beliebigen Clients ansprechbar (statt nur vom eigenen Web-Server). Angreifer nutzen dies, um beliebige Seiten vom memcached-Server anzufordern, diese Antworten aber per Redirection- oder Amplifikation-Methode für DDoS-Angriffe an andere Webserver im Internet umzuleiten. Diese empfangen die Daten und gehen auf Grund der Datenlast in die Knie (auf einer 1 Gbit/s-Leitung lässt sich über 20 Gbit/s Traffic erzeugen).

memcached-Server richtig konfigurieren

Abhilfe schafft die richtige Konfigurierung des memcached-Servers durch den betreffenden Administrator. Dieser darf nur vom Web-Server, nicht aber von beliebigen Clients aus dem Internet ansprechbar sein. The Register fasst es so zusammen: Get it behind the firewall and turn off UDP. Einige zusätzliche Hinweise in deutscher Sprache sind bei heise.de in diesem Artikel nachzulesen.

Interessehalber nachgefragt: Irgend jemand von euch, der einen memcached-Server betreibt oder administriert?

Ergänzung: GitHub per DDoS angegriffen

Nachtrag: Gestern war alles noch ein 'theoretisches Geplänkel' zu einem Angriff, der wohl 'beobachtet worden war'. Nun ist bekannt geworden, dass GitHub über diesen Angriffsvektor per DDoS fast aus dem Netz gekickt worden ist. Erster Angriff am 28. Februar, der zweite Angriff am 1. März 2018. Akamai hat es wohl abwehren können - war aber der größte DDoS-Angriff, den man bisher gesehen hat. Und es sind wohl geschätzt 100.000 memcached-Server per Internet erreichbar. (via)