Homepage Magna Cura Nieuwe DDoS-techniek levert meteen grootste aanval ooit op

Nieuwe DDoS-techniek levert meteen grootste aanval ooit op

maandag 5 maart 2018 - Eerder deze week kreeg GitHub te maken met de tot op heden grootste DDoS-aanval ooit. Een nieuwe amplification-aanval met memcached gaat op korte termijn voor grote DDoS-golven zorgen die dit record de nieuwe norm maken.

Amplification-aanvallen, waarbij vanaf een gespooft IP-adres een veel grotere respons wordt gegenereerd om een server te overspoelen met pakketjes, zijn van zichzelf niet nieuw. Dit DDoS-concept kreeg bijvoorbeeld in 2013 veel aandacht na de Spamhaus-DDoS-aanval, toentertijd met 300 Gbps de grootste ooit.

Toen werden slecht geconfigureerde DNS-resolvers gebruikt om servers te overspoelen met aanvragen. Andere technieken gaan bijvoorbeeld met NTP- of SSDP-requests. Elke methode die ervoor zorgt dat een server een grotere respons geeft dan de originele aanvraag, is vatbaar voor een amplification-aanval. Memcached is simpelweg de nieuwste.

Dagelijks Tbps-aanvalen

Momenteel is die grootte aan de orde van de dag en DDoS-beschermer Cloudflare voorspeldedinsdag dat een nieuwe techniek ervoor zou zorgen dat we (zelfs grotere) Tbps-aanvallen regelmatig gaan meemaken. Daar hoefden we niet lang op te wachten. GitHub kreeg woensdag te maken met een aanval van 1,35 terabit per seconde.

Bij de nieuwe techniek worden memcached-systemen bevraagd om antwoorden te sturen op requests die een factor 50 groter zijn dan het oorspronkelijke verzoek van 1428 bytes (iedere byte van de aanvaller levert met de amplificatie 51 KB op) . Die reacties worden naar het gespoofte IP-adres verstuurd en de ontvanger wordt overspoeld met pakketjes. Memcached-servers zijn en masse zodanig geconfigureerd dat ze via UDP/11211 te benaderen zijn.

Memcached nieuwe norm

"Als je UDP gebruikt, moet je altijd reageren met een kleinere pakketgrootte dan de aanvraag. Anders zal je protocol worden misbruikt", zo schreef Cloudflare. Omdat er in een eerst gedetecteerde memcached-aanval slechts een fractie van het via Shodan gevonden te benaderen aantal servers werd gebruikt, die toch al voor 500 Gbps zorgden, verwacht de DDoS-beschermer dat dit issue nog een tijd blijft spelen.

Bron: webwereld

Reageren?





< Terug naar het overzicht