Najpotężniejszy DDoS w historii
Przedwczoraj doszło do największego odnotowanego ataku DDoS. Jego ofiarą padł GitHub, popularne repozytorium oprogramowania. Atak trwał w godzinach 17:21 do 17:30 czasu UTC, kiedy to serwery GitHuba były nękane ruchem o maksymalnej przepustowości dochodzącej do 1,35 Tb/s.
Tak potężny atak udało się przeprowadzić dzięki wykorzystaniu serwerów Memcached, których zadaniem jest odciążenie serwerów bazodanowych poprzez zrzucanie danych do pamięci RAM. Serwery te nie powinny być dostępne na zewnątrz. Dzięki fałszowaniu adresów IP napastnicy byli w stanie zwiększyć ilość danych aż o około 50 000 razy. Atak przeprowadzono z ponad tysiąca systemów z dziesiątkami tysięcy węzłów.
Niezabezpieczone serwery Memcached można wykorzystać wysyłając do nich niewielki pakiet UDP, w którym umieszczamy adres ofiary. Serwer wysyła na podany adres pakiet 50 000 razy większy. Jeśli zatem do Memcached wyślemy 203-bajtowy pakiet, serwer odeśle pakiet wielkości ok. 10 MB. Dlatego też niewielka liczba komputerów wykorzystujących Memcached może przeprowadzić potężny atak.
Jak informuje GitHub, firmowe serwery zaczęły pobierać niemal 127 milionów pakietów na sekundę. Natychmiast po wykryciu ataku ruch przekierowano na infrastrukturę firmy Akamai. Biorąc pod uwagę fakt, że w jednej z naszych serwerowni ruch wzrósł do ponad 100 Gb/s, podjęliśmy decyzję o przekierowaniu ruchu do Akamai, co dało nam dodatkową przepustowość, mówi Sam Kottler, odpowiedzialny w GitHubie za stabilność pracy serwisu. Dzięki tej decyzji potężny atak spalił na panewce. GitHUb był niedostępny zaledwie przez około 5 minut, a po kolejnych 5 minutach powrócił do pełnej sprawności. Niedługo potem doszło do kolejnego ataku, o maksymalnym natężeniu ruchu 400 Gb/s, jednak w żaden sposób nie zaszkodził on GitHubowi.
Mimo tego, że atak był potężny, to obrona przed nim jest stosunkowo łatwa. Wystarczy, co zrobili administratorzy Akamai, zablokować ruch na porcie UDP 11211, z którego standardowo korzystają serwery Memcached. Developerzy Memcached, w reakcji na atak, już zapowiedzieli, że w kolejnych wersjach oprogramowania wsparcie protokołu UDP będzie domyślnie wyłączone.
Komentarze (8)
Krzychoo, 2 marca 2018, 14:21
No ale po co ten atak? Czyżby trening przed właściwym?
wilk, 2 marca 2018, 14:55
Pokaz siły. Albo służb, albo pokazówka przed wymuszeniem okupu.
rahl, 2 marca 2018, 17:24
Cały atak służył skupieniu uwagi, cel był całkiem inny.
thikim, 2 marca 2018, 18:18
Służby się takimi rzeczami nie zajmują.
Reszta może i ma jakiś sens.
wilk, 2 marca 2018, 21:54
Oj, to chińscy rządowi hakerzy na pewno się tą informacją by zasmucili.
BTW. https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html
pogo, 2 marca 2018, 23:12
Gdybym ja znalazł tego typu podatność i chciał zwrócić na nią uwagę, a jednocześnie trochę się pobawić i miał stosowne zasoby, to zrobiłbym mniej więcej to samo.
Wybrałbym jakiś system o dużych możliwościach przyjęcia tego typu ataku i patrzył co się stanie. Oczywiście jednocześnie wybrałbym cel, który daje stosunkowo małe szanse na duże straty w razie gdyby rzeczywiście się zapchał.
GitHub jest duży, znany i nie jest nikomu tak krytycznie potrzebny aby utrata dostępu do niego na 10-15 minut miała kogoś zabić.
tempik, 3 marca 2018, 09:06
To taka reklama, jak Tesla na orbicie. To jest miś na miarę naszych możliwości. Wchodźcie na darkneta i kupujcie.
thikim, 3 marca 2018, 21:54
Oni nie są ze służb.
Czyli mając jedną bombę atomową zdetonowałbyś ją w celach pokazowych - a potem byś światu powiedział: bójcie się - nie mam już drugiej. Ciekawa taktyka negocjacyjna :)Może spowodować dezorientację u przeciwnika.