Netscout Arbor, Spezialist für Lösungen zur Abwehr von DDoS-Angriffen (Distributed Denial of Service), hat einen DDoS-Angriff mit über 1,7 TBit/s auf ein US-Unternehmen bestätigt. Letzte Woche hatte das Security Intelligence Response Team (SIRT) von Akamai bereits den DDoS-Angriff mit 1,3 TBit/s verzeichnet. In beiden Fällen nutzten die Angreifer die gleichen Techniken: Sie missbrauchten falsch konfigurierte Memcached-Server in Internet-Rechenzentren als Reflektoren (Verstärker).

Gemessen wurde der 1,7-TBit/s-Angriff mit Arbors Active Threat Level Analysis System (ATLAS). Dieses erfasst ein Drittel des gesamten Internet-Datenverkehrs und liefert Informationen über Botnets, DDoS und Malware. Der aktuelle Angriff, so der DDoS-Abwehrspezialist, sei deutlich größer als jeder bisher je von ATLAS gemessene Fall. Der Rekordwert lag zuvor bei 650 GBit/s und stammte von einem Angriff im Sommer 2016 in Brasilien.

„Zwei Terabit-Angriffe innerhalb nur einer Woche zeigen, dass sich Netzbetreiber auf zukünftige Mega-Angriffe vorbereiten müssen“, so Guido Schaffner, Channel Sales Engineer bei Netscout Arbor. Mit Best-Practice-Verteidigungsmaßnahmen könne man jedoch selbst diese Angriffe abwehren.

Der DDoS-Mitigation-Service-Provider müsse jedoch über eine ausreichende Größe und Expertise verfügen, um Angriffe dieser Größenordnung blockieren zu können. Arbor habe deshalb seinen Cloud DDoS Service auf mehr als das Zehnfache des bisher größten Angriffs dimensioniert.

Die für diese Angriffe missbrauchten Memcached-Server sind Cache-Server, die durch das Hinterlegen von Daten im Arbeitsspeicher (Memory) den Abruf von Datenbankinhalten im Internet beschleunigen sollen. Laut der Suchmaschine Shodan gibt es über 80.000 Memcached-Server weltweit, die eine unsichere Default-Konfiguration aufweisen, so Arbor.

Der Security-Anbieter geht davon aus, dass nun viele offene Memcached-Server abgeschaltet werden. Doch die hohe Zahl weiter laufender offener Memcached-Server werde Angreifern auch weiterhin eine Plattform bieten, um DDoS-Attacken zu starten. DDoS im Terabit-Bereich bleibe daher eine Gefahr für Unternehmen und Service-Provider, so Arbor.

Angriffe in TBit/s-Größe, wie sie durch Memcached Reflection möglich sind, lassen sich nicht ohne Weiteres durch Rechenzentrumslösungen abwehren, warnt auch Netzwerk- und Security-Provider Akamai. Erforderlich sei eine Unterstützung durch Upstream ISPs (Internet-Service-Provider) und/oder Cloud-basierten DDoS-Security-Services.

Am 28. Februar war GitHub laut Cloudflare für zehn Minuten offline. Der von Akamai danach abgewehrte 1,3-TBit/s-DDoS-Angriff nutzte laut Angaben des Providers ebenfalls UDP-basierte Reflection-Angriffe, die von ungeschützten Memcached-Servern stammten. Diesen Angriff habe man mittels der hauseigenen DDoS-Mitigation-Plattform Prolexic abgewehrt. Das Gros der DDoS-Abwehrlösungen könne einem Angriffsvolumen dieser Größe nicht standhalten, so Akamai. Deshalb stelle man allen Prolexic-Kunden ein Update zur Verfügung, um sie vor derlei Memcached-Angriffen zu schützen.

Weitere Informationen finden sich auf dem Arbor-Blog sowie auf Akamais Blog.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.