ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2018-03-01

memcached を悪用したDDoS攻撃についてまとめてみた

| 06:20 |  memcached を悪用したDDoS攻撃についてまとめてみたを含むブックマーク

2018年2月下旬にPort 11211に対するアクセス増加がみられるとしてJPCERT/CCが注意喚起を行いました。11211/udpポートはmemcachedデフォルトで利用されているもので、JPCERT/CCは先の注意喚起で「memcached を踏み台として悪用したとみられる DDoS 攻撃の報告を受け取っています。」と攻撃への悪用についても報告しています。ここでは関連情報をまとめます。

タイムライン

日時出来事
2018年2月21日頃JPCERT/CCが11211/udpへのアクセス増加を確認。
同日頃からmemcachedを用いたとみられるDoS攻撃が観測。
2018年2月28日JPCERT/CCが11211/udpのアクセス制御に対する注意喚起を発表。
2018年3月1日 2時21分頃Githubを対象にしたピーク時 1.35Tbps規模のDDoS攻撃が発生。(1回目)
同日 3時頃Githubを対象にしたピーク時 400Gbps規模のDDoS攻撃が発生。(2回目)
2018年3月5日ArborNetworksがピーク時 1.7Tbps規模の攻撃を観測したと報告。

memcachedを悪用したDoS攻撃

  • 送信元を偽装しUDPを用いて平均で9000〜10000倍に増幅したリフレクションによるDDoS攻撃
  • 増幅される幅としてUS-CERTの注意喚起では最大5.1万倍との表記もある。

memcachedを利用している場合

第三者がアクセス可能な状態で公開されている場合
Nmapを使った確認方法
  • nmapでは次のコマンドを用いて確認することが可能。
$ nmap TARGET -p 11211 -sU -sS --script memcached-info

注意喚起等

攻撃観測

(1) DDoS Monでの観測状況

f:id:Kango:20180302061852p:image

(2) セキュリティベンダが観測したピークの攻撃規模
報告したセキュリティベンダ観測したDoS攻撃ピーク時最大規模
Akamai190 Gbps超
CLOUDFLARE257 Gbps
LINK11460 Gbps
IMPPERVA190 Gbps
Qrator Labs480 Gbps
Alibaba Cloud578.6 Gbps
(3) 国内の事例

ホスティングサービスを利用しているユーザーが踏み台とされたと報告している。

IIJの観測レポート

JPCERT/CCからの注意喚起にも記載されている、2月21日頃から件数が増加していることが確認出来ており、本攻撃に利用可能なホストを探索しているものと考えられます。

(4) GithubへのDDoS攻撃

  • Github.comで以下のサービス障害が発生した。
    • 2018年2月28日 17時21分〜17時26分(UTC)までの間、利用できない
    • 2018年2月28日 17時26分〜17時30分(UTC)までの間、断続的に利用できない

観測されたDDoS攻撃の状況

発生日時ピーク時の攻撃規模サービス影響
2018年3月1日 2時21分頃から発生約1.35Tbps(毎秒126.9百万パケット約6分程度のサービス障害
2018年3月1日 3時頃から発生約400Gbps無し
  • DDoS攻撃memcachedを悪用したリフレクション攻撃であった。
  • 攻撃は数千種類のユニークなエンドポイントを通じ、1000を超えるASNから発生した。
  • DDoS攻撃への対応としてProlexicの軽減策が約6時間導入された動きが見られる。
日時Githubの対応
2018年3月1日 2時21分頃Github.comで障害検知。
Githubの施設の1つで使用されるインバウンド帯域幅が100Gbpsを超過したことからアカマイへのトラフィック移動を決定。
2時26分頃ChatOpsツールを用いてBGPアナウンスメントの取り消し、及びアカマイ経由とするコマンドを実行。
2時30分頃サービスの障害回復
2時34分頃Internet exchangeへのルートはフォローアップとして引き継ぎ。
(5) RansomDoSの動き

(6) Arbor Networksが1.7 Tbps規模の攻撃を観測

Today, NETSCOUT Arbor can confirm a 1.7Tbps reflection/amplification attack targeted at a customer of a U.S. based Service Provider has been recorded by our ATLAS global traffic and DDoS threat data system.

セキュリティベンダの観測情報等

その他の関連記事/情報

更新履歴