Slik jobber Uninett CERT for å beskytte sektoren mot DDoS-angrep

Skrevet av UNINETT CERT, 06. Mar 2018

Onsdag 28. februar ble hostingtjenesten for versjonskontroll Github utsatt for et av tidenes største tjenestenektangrep (DDoS). På det meste var trafikken inn mot Github oppe i 1,3 Tbit/s (1300 Gbit/s), altså over ti ganger kapasiteten på Uninetts backbone-nett.

Angriperne oppnådde denne trafikken ved et såkalt forsterkningsangrep basert på å utnytte servere som kjører objektcachingsystemet Memcached.

Memcached er utviklet for å brukes innen tiltrodde nettverk, og er i utgangspunktet ikke beregnet på å være fritt tilgjengelig. Ved å utnytte åpent tilgjengelige servere som tilbyr Memcached, er det mulig å oppnå en svært høy forsterkningsfaktor, opptil 51 200 ganger.  Det betyr at for hver byte angriperne sender til en Memcached-instans, blir opptil 51 kilobyte med trafikk sendt som svar tilbake mot målet for angrepet.

Akamai, som hjalp Github med å håndtere dette angrepet, regner med at det bare er et tidsspørsmål før det kommer enda kraftigere Memcached-baserte angrep.

Les artikkelen på digi.no for mer informasjon om angrepet og en mer utfyllende beskrivelse av hvordan forsterkningsangrep gjennomføres

For å beskytte Uninetts kunder mot slike forsterkningsangrep, har vi i flere år hatt ratebegrensning for en rekke tjenester som ofte blir misbrukt til forsterkningsangrep. Dette er gjennomført i samarbeid med NORDUnet, som leverer våre utenlandsforbindelser. Etter hendelsene den siste uka har Uninett nå etablert ratebegrensning også for Memcached.

Ratebegrensning innebærer at det er satt et tak på mengden innkommende trafikk for den spesifikke tjenesten fra omverdenen til Uninett. Taket er tilpasset hver enkelt tjeneste, og er satt på et slikt nivå at legitim trafikk ikke blir påvirket ved normal bruk.

Angrep kan selvsagt medføre at legitim trafikk blir berørt. Imidlertid vil ratebegrensningen sørge for at bare en liten del av angrepstrafikken slipper gjennom, slik at skadevirkningene blir mindre.

Memcached er den foreløpig siste i en lang rekke tjenester som er blitt utnyttet til forsterkningsangrep.

Universitets- og høgskolesektorens sikkerhetsteam, Uninett CERT, får jevnlig varsel fra eksterne samarbeidspartnere om maskiner i forskningsnettet som tilbyr tjenester som kan utnyttes til angrep. Vi sender regelmessig ut rapporter til våre kunder med lister over maskiner som tilbyr slike tjenester.

Likevel deltok dessverre noen maskiner fra vår sektor også denne gangen i angrepet. Uninett CERT ber om at alle kunder tar slike rapporter alvorlig og sørger for å skru av eller filtrere tjenester som ikke er nødvendige.

 

Les også:

Slik sikrer du organisasjonen mot RDP-misbruk