2018-03-01
memcached を悪用したDDoS攻撃についてまとめてみた
インシデントまとめ | | 
2018年2月下旬にPort 11211に対するアクセス増加がみられるとしてJPCERT/CCが注意喚起を行いました。11211/udpポートはmemcachedでデフォルトで利用されているもので、JPCERT/CCは先の注意喚起で「」とも報告しています。ここでは関連情報をまとめます。
タイムライン
| 日時 | 出来事 |
|---|---|
| 2018年2月21日頃 | JPCERT/CCが11211/udpへのアクセス増加を確認。 |
| 同日頃から | memcachedを用いたとみられるDoS攻撃が観測。 |
| 2018年2月28日 | JPCERT/CCが11211/udpのアクセス制御に対する注意喚起を発表。 |
| 同日 | Githubを対象にしたDDoS攻撃が発生。(1回目) |
| 2018年3月1日 | Githubを対象にしたDoS攻撃が発生。(2回目) |
memcachedを悪用したDoS攻撃
- 送信元を偽装しUDPを用いて平均で9000~10000倍に増幅したリフレクションによるDDoS攻撃。
- 増幅の幅としてUS-CERTの注意喚起では最大5.1万倍との表記もある。
- インターネット上からアクセス可能なmemcachedは2月27日に約9万3千台が確認されている。
- Public Memcached
memcachecdを利用している場合
Nmapを使った確認方法
- nmapでは次のコマンドを用いて確認することが可能。
$ nmap TARGET -p 11211 -sU -sS --script memcached-info
注意喚起等
- JPCERT/CC memcached のアクセス制御に関する注意喚起
- US-CERT Alert (TA14-017A) UDP-Based Amplification Attacks
- Memcached 1.5.6 Release Notes
攻撃観測
DDoS Mon
セキュリティベンダの観測規模
| セキュリティベンダ | ピーク時の観測規模 |
|---|---|
| Akamai | 190 Gbpsを超える攻撃 |
| CLOUDFLARE | 257 Gbps |
| LINK11 | 460 Gbps |
| IMPPERVA | 190 Gbps |
| Qrator Labs | 480 Gbps |
国内の事例
ホスティングサービスを利用しているユーザーらが踏み台とされたと報告している。
Github
- 観測情報等
セキュリティベンダの観測情報等
- CLOUDFLARE Memcrashed - Major amplification attacks from UDP port 11211
- IMPERVA Inside a New DDoS Amplification Attack Vector via Memcached Servers
- ARBOR Networks memcached Reflection/Amplification Description and DDoS Attack Mitigation Recommendations
- Akamai MEMCACHED UDP REFLECTION ATTACKS
- LINK11 New High-Volume Vector: Memcached Reflection Amplification Attacks
- Qrator Labs The memcached amplification attacks reaching 500 Gbps
- senki memcached on port 11211 UDP & TCP being exploited
- 360 Netlab Memcache DDoS: A Little Bit More
- Rapid7 The Flip Side of memcrashed
更新履歴
- 2018年3月2日 AM 新規作成
