先週、コードリポジトリGitHubが1.3Tbpsのサービス拒否攻撃を受け、接続不能となりました。当時、同様の攻撃が今後さらに増えると予測していましたが、その予測は的中したようです。
Arbor Networksは、今月初めに米国のサービスプロバイダーが1.7Tbpsの攻撃を受けたと発表しました。このケースでは、プロバイダーが適切な安全対策を講じていたため、システム停止は発生しませんでしたが、memcached攻撃は今後、ネットワーク管理者が真剣に対応しなければならない問題となることは明らかです。
備えを万全にする時だ
この攻撃では、セキュリティ対策が不十分なmemcachedデータベースサーバーを利用して、標的への攻撃を増幅させます。攻撃者は標的のUDPアドレスを偽装し、認証トラフィック要件が設定されていないmemcachedサーバーに小さなデータパケットをping送信します。サーバーは受信したデータの最大5万倍ものデータを返します。
memcachedサーバーは1秒間に複数のデータパケットを送信するため、意図せずしてターゲットに送信されるデータの洪水を増幅させてしまいます。適切なフィルタリングとネットワーク管理がなければ、このデータの津波は一部のプロバイダーをオフラインに追い込むほどの規模になる可能性があります。
GitsクラブのGitHubコードタブに記録破りの1.35Tbps DDoS攻撃
続きを読む
簡単な緩和策がいくつかありますが、特にmemcachedサーバーからのトラフィックのデフォルトの経路であるポート11211からのUDPトラフィックをブロックすることが挙げられます。さらに、memcachedサーバーの運用者は、このようなサービス拒否攻撃に加担しないように、システムをロックダウンする必要があります。
「インターネットコミュニティは、公開されている多くの memcached サーバーへのアクセスを遮断するために団結しているが、memcached を公開で実行しているサーバーの数が膨大であるため、これは攻撃者に悪用される永続的な脆弱性となるだろう」と、アーバーネットワークスの営業、エンジニアリング、運用担当副社長であるカルロス・モラレス氏は述べた。
「企業が自らを守るために必要な措置を講じることは極めて重要だ。」
memcached攻撃が初めて報告されてからほぼ5年が経ちましたが、ここ数週間で攻撃は増加し、身代金を要求するものまで登場しています。memcachedサーバーの運営者が対策を講じない限り、こうした攻撃は今後も続くことは明らかです。®
