一次ソース

New High-Volume Vector: Memcached Reflection Amplification Attacks www.link11.com

引用記事

www.darkreading.com

概要

• 2018 年 2 月下旬、Link11 Security Operation Center が udp/11211 をソースポートとする未知の大規模 UDP 攻撃を確認
• 初期分析結果から Link11 の DDoS のセキュリティ専門家は「Memcached リフレクション攻撃」と名付ける
• Memcached を DDoS 増幅ベクタとして利用した例はこれまで知られていない
• これまで利用されなかった理由はなんら技術的な制約ではなく単に「攻撃に利用することを思いつかなかったから」と見られる
• Memcached は本来、ファイアウォールの内側、LAN 内で利用されるものだが、不適切な設定のまま放置されインターネットからアクセス可能なサーバーが多数存在
• ピーク時の攻撃トラフィック量は 400Gbps を超える
• Memcached を利用した DDoS 攻撃の利点は入力バイト数が非常に小さくても DNS や NTP など定形応答を行うサービスよりずっと大規模な増幅が可能なことで、論理的にはほんの10-20バイト程度の入力から 400MB、500MB といったサイズへに増幅することが可能
• 充分にマシンパワーのあるコンピュータ 1 台など非常に限られたリソースで大規模な DDoS 攻撃が可能

対策

• インターネットに自社のホストが Memcached サービスを露出していないか確認する
• src ポートが upd/11211 の通信を FW、ルータなどネットワーク境界で遮断する
• DDoS 対策サービスを利用する
• 帯域が充分確保されていることを確認する