"In den letzten Tagen haben wir einen grossen Anstieg (von DDos-Attacken, Anm. d. Red.) mit einem obskuren Angriffsvektor festgestellt - mit dem Memcached-Protokoll, das vom UDP-Port 11211 kommt", meldet der DDoS-Spezialist Cloudflare. "Eine signifikante Zunahme des Missbrauchs von falsch konfigurierten memcached Servern in Internet-Data-Center-Netzwerken (IDC) als Reflektoren/Verstärker" meldet fast gleichzeitig Netscout Arbor.

Dem deutschen DDoS-Abwehrspezialist Link11 ist obiges ebenfalls nicht entgangen. Im Fokus ist laut allen drei Unternehmen Port 11211 von öffentlich erreichbaren memcached Installationen und möglich seien massive DDoS-Attacken, genauer sogenannte Redirection-/ Amplifikations-Angriffe ("Amplifikation" meint "Verstärkung").

Es sei eine Verstärkung im Faktor 51'200 möglich, so 'Bleeping Computer' stark beeindruckt.

"Da memcached Server typischerweise über relativ breitbandige Zugriffsverbindungen verfügen und sich in IDC-Netzwerken mit Hochgeschwindigkeits-Transitnetzwerken befinden, eignen sich diese, um für DDoS-Angriffe mit hoher Bandbreite missbraucht zu werden", so Netscout Arbor in einer Mitteilung.

Cloudflare schreibt: "Eine sorgfältige Vorbereitung ermöglicht es einem Angreifer mit begrenzter IP-Spoofing-Kapazität (wie ein Gbit/s) sehr grosse Angriffe zu starten (bis zu 100 Gbit/s)". Link11 hat offenbar zehnminütige DDoS-Attacken gestoppt mit einem Traffic von 100 und 200 Gbit/s und maximal 296 Gbit/s, meldet 'Heise'. Cloudflare hat 260 Gbit/s als Rekord gemessen.

Dieser Angriffsvektor sei "obskur" (Cloudflare) beziehungsweise "relativ neu" (Netscout Arbor). Und die Entdeckung eines solchen sei relativ selten. Netscout Arbor glaubt, die Entdecker hätten ihr Wissen "einer breiten Masse von Angreifern unabhängig ihrer technischen Expertise, über sogenannte Booter/Stresser DDoS-for-Hire-Botnets zur Verfügung gestellt".

'Bleeping Computer' rapportiert, man habe via die Suchmaschine Shodan 93'000 öffentlich gut zugängliche memcached Server gefunden.

Dass memcached Server offen im Internet herumliegen, ist natürlich kein Naturgesetz. Man könne sie relativ simpel auf "localhost" beschränken, informieren Kommentatoren in einschlägigen Foren unwissende Fragesteller. Und man könne sie nur mit Socket-Dateien statt Ports nutzen, beziehungsweise via Firewall abschirmen. Wir gehen davon aus, dass auf der offiziellen Website die nötigen Infos zu finden sind.

Auch Cloudflare erläutert, was memcached-Nutzer, ISPs, Entwickler und Sys-Admins jetzt zur Absicherung zu tun haben.

Sonst soll die Google-Suche "Memcached + " helfen. (mag)