memcachedによるDDoS問題、1.7Tbpsに到達。一方お手軽な対策も登場
memcachedが不正なUDPパケットを送りつけることで5万倍以上の強烈な増幅率になってしまう件についてです。
Shodanなどで見つかった、ネットに露出したmemcachedサーバを使ったDDoS攻撃は、ついに新記録1.7Tbpsに到達しました。攻撃を受けた対象は非公開です(その前の1.3Tbps攻撃はgithub向けでしたが)。なお、memcached以前の最高記録はMiraiによる2016年秋の1Tbpsです。
「DDoS攻撃の新記録、1.7Tbps」
この時点では「2Tbpsはいく」とみられていました。また、複数のPoCも出ています。中には1ツイートに収まるものも(Perl用に見えます)。
「Memcached DDoS攻撃の実証(PoC)コード、公開」
まあ、既に攻撃が行われていたので、それほど重大ではありませんが、それでも技術力のない者が攻撃できてしまう問題はあります。
一方、攻撃を受けた場合の対策も発表されています。
「Memcached DDoS攻撃を緩和するテクニック発見」
そのテクニックは、攻撃元に対して"flush_all\r\n"と送ること。さらに"shutdown\r\n"と送るのも有効だとか。この対策は既に「Memfixed」という名前でpythonのスクリプトになっています。
Memfixed
「MemcachedベースのDDoS攻撃を緩和する新ツール、Memfixed」
(なお、Memfixedはshutdownコマンド送信機能をオプションでもっていますが、BleepingComputerのCimpanu氏は「他者のサーバを落とすのは有罪になりかねない」として使わないことを推奨しています。というか、UDPパケットで本当にシャットダウンできるんですね……)
また、各地のサーバ業者が警告を出している模様です。おかげで、ポート11211(今回のMemcached問題での標準待機ポート)が開いているサーバの数は3月1日から3月5日までで3分の2(18000→12000)まで減少したそうです。
Memcached自身も、デフォルトでUDP接続を無効化(有効化は明示的な指定が必要)されたバージョン1.5.6を公開しています。もっとも、こういう更新を素早く適用できるところは、そもそもMemcachedをインターネットに晒さないとは思いますが……。
