2018-02-28 セキュリティニュースまとめ: Memcached を DDoS 攻撃用増幅ベクタとして利用する大規模攻撃が初めて観測される
一次ソース
New High-Volume Vector: Memcached Reflection Amplification Attacks www.link11.com
引用記事
概要
- 2018 年 2 月下旬、Link11 Security Operation Center が udp/11211 をソースポートとする未知の大規模 UDP 攻撃を確認
- 初期分析結果から Link11 の DDoS のセキュリティ専門家は「Memcached リフレクション攻撃」と名付ける
- Memcached を DDoS 増幅ベクタとして利用した例はこれまで知られていない
- これまで利用されなかった理由はなんら技術的な制約ではなく単に「攻撃に利用することを思いつかなかったから」と見られる
- Memcached は本来、ファイアウォールの内側、LAN 内で利用されるものだが、不適切な設定のまま放置されインターネットからアクセス可能なサーバーが多数存在
- ピーク時の攻撃トラフィック量は 400Gbps を超える
- Memcached を利用した DDoS 攻撃の利点は入力バイト数が非常に小さくても DNS や NTP など定形応答を行うサービスよりずっと大規模な増幅が可能なことで、論理的にはほんの10-20バイト程度の入力から 400MB、500MB といったサイズへに増幅することが可能
- 充分にマシンパワーのあるコンピュータ 1 台など非常に限られたリソースで大規模な DDoS 攻撃が可能
対策
- インターネットに自社のホストが Memcached サービスを露出していないか確認する
- src ポートが upd/11211 の通信を FW、ルータなどネットワーク境界で遮断する
- DDoS 対策サービスを利用する
- 帯域が充分確保されていることを確認する