GitHub は 1.3 Tbps の DDoS 攻撃を受けましたが、memcached のせいでこれが最後ではありません
今週、 Akamaiが管理するGitHub は、 1.3 Tbpsのトラフィックを生成するDDoS 攻撃を受け、これは史上最大の DDoS 攻撃となり、 DynDNS に投下できた攻撃の 2 倍以上となりました。ただし、「memcached リフレクション」によってもたらされる可能性により、この攻撃による記録の保持が非常に短期間で停止される可能性があります。
これは、低速のメディア (データベースや API など) に保存されたデータに頼るよりも優れており、アクセス速度が向上します。ただし、このシステムはインターネットに接続されていないシステムで使用することを目的としていますが、残念ながらその多くはインターネットに接続されています。実際、Akamai は、ネットワークに少なくとも 50,000 が接続されており、それらが脆弱であると推定しています。
memcached による 50,000 倍の増幅
Memcached は認証を必要とせず、TCP および UDP 上にリスナーを持つことができます。 UDP は簡単に偽装できるため、リフレクタとして使用できます。 memcached を使用した増幅率は50,000 倍を超える可能性があります。たとえば、 203 バイトのリクエストは100 MB のレスポンスに簡単に変換できます。
Akamai の Prolexicプラットフォームは、membached によってデフォルトで使用されるUDP ポート 11211上のすべてのトラフィックをフィルタリングすることで攻撃をすぐに軽減できたため、攻撃は数分間続きました。幸いなことに、通信事業者はこのポートを通過するトラフィックを制限できますが、すべての通信事業者が制限できるわけではありません。もう 1 つの解決策は、インターネットに公開されている反射体がないことです。ただし、反射体が非常に多いため、すべてを分離するのは困難です。
先週の月曜日以降、他の組織も同様の攻撃を経験しているため、この攻撃を受けたのは Akamai だけではありません。そして、オープンな memcached サーバーを検出するためのスキャンの増加が検出されているため、おそらくこれが最後ではありません。導入できる唯一の「簡単な」解決策は、企業が攻撃に使用されるデフォルト ポートのトラフィックを制限することで、さらに大規模な攻撃に備えることです。