Welche Ausmaße gezielte Angriffe im Internet mittlerweile angenommen haben, zeigt ein Angriff auf den Online-Dienst Github, der Software-Entwicklungsprojekte auf seinen Servern bereitstellt. Wie "Wired" berichtet, war er Ziel der größten Distributed-Denial-of-Service-(DDoS-)Attacke, die das Netz bisher gesehen hat. Dabei wurden durchaus beeindruckende 1,35 Terabit Daten pro Sekunde auf den Anbieter losgelassen, um dessen Services vollständig vom Netz zu nehmen.

Mithilfe des Dienstleisters Akamai konnte der Angriff nach acht Minuten beendet werden. Das Unternehmen bietet Hilfestellung bei der Abwehr von DDoS-Angriffen an.

Der bisherige Rekordhalter war ein Angriff auf den großen Domain-Name-System-(DNS-)Dienstleister Dyn, der immerhin 1,2 Terabit Daten pro Sekunde erreichte und Teile des Internets lahmlegte, da Anbieter wie Twitter und Spotify das Service von Dyn nutzten.

Memcached Amplification Attack

Bei einem DDoS-Angriff bringen Hacker einen Internetdienst durch massenhafte Anfragen aus einer Vielzahl unterschiedlicher Quellen zum Zusammenbruch. Bei dem Angriff auf Github kam eine neue Methode zum Einsatz. Die Angreifer führten dabei eine sogenannte "Memcached Amplification Attack" durch.

Memcached-Server dienen zur Beschleunigung von dynamischen Web-Applikationen, da Objekte und andere Daten im Hauptspeicher des Servers zwischengelagert werden können. Die Angreifer nutzen hierbei schlecht abgesicherte Installationen des Open-Source-Caching-Systems aus: Es ist ungesichert über UDP-Port 11211 erreichbar, um Daten zu lesen und schreiben, aber auch um Statistiken abzufragen, wie die deutsche DDoS-Schutzfirma Link11 schreibt.

Öffentlich erreichbare Memcached-Installationen

Diese öffentlich erreichbaren Memcached-Installationen werden als "Verstärker" genutzt. Der Angriff an sich erfolgt relativ einfach: Zuerst werden potenzielle Verstärker gesucht. Das geschieht mittels UDP-Internetscans auf Port 11211. Der Angreifer stellt nun (zehn)tausende Anfragen an die entsprechenden Server und nutzt dabei die IP-Adresse des Angriffsziels als Absender-IP, sodass die Antworten der Memcached-Instanzen nicht an den Angreifer selbst, sondern in Richtung des Angriffsziels gesendet werden. (Zehn)tausende Antworten werden dadurch von den Memcached-Hosts in Richtung des Angriffsziels gesendet und bringen dieses in Bedrängnis.

Auch in Österreich gab es bereits Memcached Amplification Attacken. So wurde der Hoster Anexia am Donnerstag Ziel eines solchen Angriffs.

Nutzer von Memcached-Servern müssen also ihre Server schleunigst absichern, damit diese nicht für Angriffe missbraucht werden. (sum, 2.3.2018)