Kriminelle bruker en ny teknikk for å utføre såkalte reflektive DDOS-angrep
Ditribuerte tjenestenekt-angrep, eller DDOS, er en metode som kriminelle bruker for å sabotere tjenester på nett. Et “Denial of Service”-angrep går kort fortalt ut på at en angriper sender store mengder data til en server slik at denne ikke lenger kan levere tjenesten.
I et DDOS vil angriperen enten kontrollere eller manipulere et stort antall datamaskiner til å utføre selve angrepet. Vi kan kalle dem slaver. Dette kan for eksempel være et botnet som angriperen kontrollerer, eller han kan manipulere datamaskiner i såkalte reflektive DDOS angrep.
I slike angrep sender angriper meldinger til slavene, der avsender-adressen er forfalsket slik at det ser ut som om datapakkene kommer fra serveren som skal angripes. Slavene er mange, så når de svarer vil den totale nettverkstrafikken overgå det serveren som blir angrepet klarer å takle.
For angriperen handler det om å øke angrepstrafikken så mye som mulig, altså at forholdet mellom det han selv må sende til slavene og det slavene så sender til offeret er størst mulig. Reflektive DDOS angrep som utnytter DNS øker typisk trafikkmengden med 50 ganger. Angrep basert på network time protocol kan øke trafikken med 58 ganger. Den nye metoden, som er basert på memcached har en faktor på hele 51000.
Dette har ført til rekordstore DDOS-angrep. Software utviklingsplatformen Github ble utsatt for et DDOS på hele 1.3Tbps. Ja, Terrabyte per second. Det skal også være observert et angrep på 1.7Tbps, men hvem som var offeret er ikke kjent.
memchached bruker UDP, og sender fra port 11211. Det kan derfor være lurt å blokkere for dette i brannmuren. De som har åpne memcached tjenester på nett bør også sørge for at disse ikke kan brukes av kriminelle.
Les mer her: