blogbanneimg
March 5th 2018

Nieuwe aanvalmethode zorgt voor zwaarste DDoS-aanval ooit

Open source-platform GitHub was 28 februari negen minuten onbereikbaar dankzij een DDoS-aanval die 1,35 Tbit/s (Terrabit per seconde) aan dataverkeer op de servers afvuurde. In totaal werden er 126,9 miljoen datapakketten richting de Github-servers verstuurd. Daarmee was de aanval meer dan dubbel zo zwaar ten opzichte van de beruchte DDoS aanval via het Mirai-botnet in 2016 en lijkt ook groter te zijn dan de DDoS-aanval via Mirai op DNS-provider Dyn in hetzelfde jaar (1,2 Tbit/s). De nieuwste aanval betrof een zogenoemde memcached-aanval.

 

Het memcached-protocol is bedoeld voor het cachen van data om schijven en databases te ontlasten bij websites. Normaal gesproken is het niet de bedoeling dat de memcache van servers bereikbaar is via internet. Ter vergelijking: een van de aanvallen die de vermoedelijke dader van de DDoS-aanvallen op banken in januari uitvoerde kwam niet boven de 40 Gbit/s uit. Dat is ongeveer veertig keer minder zwaar. Bij de nu gebruikte memchached-aanval kan het verkeer van het gebruikte botnet tot wel 50.000 keer versterkt worden. Voor een effectieve DDoS is er via deze weg een veel kleiner botnet nodig dan bij andere vormen van een reflectie- en amplificatieaanval. Hierbij wordt een UDP request gestuurd naar de server met een ‘gespoofed’ IP adres van het doelwit. Het antwoord is veel groter, waardoor het doelwit overladen wordt met verkeer en uit de lucht gaat.

 

Analyse

DutchSec monitort continu met eigen security tooling – zoals HoneyTrap – het internetverkeer, waaronder UDP verkeer. Naar aanleiding van de DDoS-aanval op Github heeft DutchSec het UDP verkeer naar poort 11211, de standaard poort voor memcached-servers, geanalyseerd.

In de 90 dagen voorafgaand aan 22 februari is er geen verkeer naar deze poort geregistreerd. Zes dagen voor de DDoS-aanval werd een toename geconstateerd. In totaal zijn er tot 5 maart 420 ‘hits’ geregistreerd op de DutchSec sensoren, waarvan 141 op 3 maart. Na deze piek nam het verkeer direct weer af.

 

Memcached servers

Dit past in het beeld dat er door aanvallers vlak voor en rond de periode van de aanval zelf actief gezocht is naar memcached servers die bereikbaar zijn via internet en daarmee gebruikt kunnen worden bij deze DDoS-variant. Een zoekopdracht in Shodan, een zoekmachine die apparaten indexeert die verbonden zijn met internet, gaf aan dat er op 5 maart liefst 104.5549 memcached servers open stonden. Van deze servers staan er 3.037 in Nederland, waarvan het grootste deel in Amsterdam. Internationaal zijn de VS met 30.253 en China met 23.377 open servers de koplopers.
Het UDP verkeer dat door DutchSec is geregistreerd op poort 11211 bleek afkomstig van 65 verschillende IP adressen, die volgens een eerste analyse geen onderling verband hebben of uit hetzelfde land komen. De geregistreerde IP adressen zijn verspreid over de hele wereld, van China tot Frankrijk en Australië.

 

Er is overigens geen aanwijzing gevonden dat de servers die gemonitord worden door DutchSec ook daadwerkelijk zijn gebruikt bij de DDoS-aanval van 28 februari. Op die dag zijn alleen zestien inkomende UDP requests geregistreerd. Indien de source IP’s van deze requests van GitHub of Akamai zouden zijn, dan is het een aanwijzing dat de servers mogelijk gebruikt zijn bij de aanval. Dit bleek niet het geval.

 

De toename van het verkeer na deze datum is dan ook verklaarbaar. Nu deze nieuwe methode bekend is, zal er een toename zijn in het scannen naar openstaande memcached servers.

 

Update 8 maart: het record van deze DDoS is alweer gebroken. De Amerikaanse provider Arbor Networks kreeg een memchached aanval van 1,7 Tbit/S voor de kiezen en bleef overeind.