Innovation Leading Company

「memcached」関連の大規模なDDoS攻撃について

2018年3月13日

「memcached」関連の大規模なDDoS攻撃について

2018年3月、過去最大規模のDDoS攻撃発生

ここ数日、セキュリティ業界で話題となっているmemcachedを悪用したDDoS攻撃。Arbor Networks社による発表も行われ、各種ニュースメディアでは「GitHubへの攻撃」「過去最大規模」といったワードが見出しを飾っています。

今回は、そんな話題のDDoS攻撃について、仕組みや対策など、速報的に記事にしました。日本国内も他人事ではありません。ぜひ、ご一読ください。

史上最大1.7TbpsのDDoS攻撃

Arbor Networks社の記事によると、分散メモリキャッシュサーバー「memcached」の仕組みを悪用したリフレクション/アンプリフィケーション攻撃が観測されました。

その大きさは1.7Tbpsで、Arbor Networks社の観測史上最大の攻撃となりました。

今回、標的となったのは、米国のサービスプロバイダーです。

インターネットのコミュニティーでは、外部接続された多くのmemcachedサーバーへのアクセスを停止することで、足並みを揃えつつあります。

しかしながら、設定不備のまま残されたmemcachedサーバーは、全世界に8万台以上稼働しており、引き続き攻撃者の標的になる可能性があります。

Peak Attack Sizes Through March 2018

出典:Arbor Networks社ブログ
http://jp.arbornetworks.com/blog20180307/

memcachedは高性能な分散メモリキャッシュサーバーです

DB を積んだ web サイトの高速化のためによく使われています。本来、 memcached はサーバーファーム内で閉じたアクセスのみを想定しています。memcachedの基本的な動作は、以下のとおりです。

【1】DBからmemcachedにデータを取得、格納します。
【2】2回目以降のアクセスは、DBにアクセスせず、memcachedとアプリケーションサーバーがやり取りをします。

Memcachedは高性能な分散メモリキャッシュサーバー

memcachedを踏み台とした攻撃

memcached サーバーの設定不備もしくはネットワーク機器のACL 設定不備で memcached の 11211/udp が外部にさらされている場合があります。その場合、踏み台となってしまう可能性があります。

Memcachedを踏み台とした攻撃

この手法の攻撃者の利点は、以下の3つです。

【1】memcachedは、データセンターにある場合が多く、大きな攻撃が実現できます。
【2】増幅率がとても高く、理論的には1万倍くらいのパケットを生成できます。
【3】攻撃対象の任意のポートに攻撃を仕掛けることができます。

対策について

memcached のような ボリューム型の DDoS は上位回線の帯域を圧迫しオンプレミスでは防ぎきれないため、クラウド型の対策が有効な対策手法となります。Arbor Cloudでは、業界最大級の8Tbpsのキャパシティを有し、DDoS攻撃対策の専門家がお客様とコンタクトをとりながら攻撃に対処します。

対策イメージ

既存でArbor SP / TMSをご利用のお客様

推奨設定がございますので、弊社担当営業までご連絡下さいますようお願い致します。

Webでのお問合わせはこちら >