Gigantyczny atak DDoS na GitHuba – 1,3 terabita na sekundę

Gdzie leży granica przepustowości złośliwych ataków odmowy usługi? Na jakie ataki muszą przygotować się usługodawcy? Wraz z ewolucją nowych metod ataków przesuwa się granica – i obecnie wynosi 1,3 terabita na sekundę.

Wczoraj popularny serwis programistyczny GitHub odnotował kilkuminutową przerwę w działalności. Dzisiejszy komunikat techniczny wskazuje, że przyczyną był gigantyczny atak odmowy usługi, w którym napastnicy zalewali serwery GitHuba ogromnym strumieniem danych.

Szczegóły ataku
O godzinie 17:21 GitHub odnotował znaczący i nagły wzrost ilości ruchu przychodzącego do swoich serwerów. Mimo niedawnego podwojenia przepustowości wykorzystywanych łączy ruchu było tyle, że zablokowana została możliwość korzystania z serwisu. GitHub skorzystał zatem z umów wcześniej zawartych z firmą Akamai, co pozwoliło na przyjęcie uderzenia przez partnera o większych możliwościach technicznych. Około 17:30 sytuacja została opanowana i strona powróciła do życia. Skalę ataku najlepiej obrazuje wykres przygotowany przez Akamai.

W szczytowym momencie ataku złośliwy ruch osiągał przepustowość rzędu 1,35 terabita na sekundę. Do sieci Akamai docierało 127 milionów pakietów na sekundę z przeznaczeniem dla serwerów GitHuba. Wcześniejszy najsilniejszy odnotowany i ujawniony atak sięgał 1,2 terabita na sekundę i dotknął firmę Dyn oraz – pośrednio – wiele popularnych usług internetowych które z jej usług korzystały.

Czego użyto do ataku

Co ciekawe, atak przeprowadzono niedawno szerzej opisaną metodą, wykorzystującą nieprawidłowo skonfigurowane serwery Memcached, przydatnej usługi pomagającej w zarządzaniu dużym ruchem na stronie. Niestety wielu posiadaczy Memcached zapomniało, że usługa ta nie powinna być dostępna dla każdego użytkownika internetu, a jedynie dla sieci wewnętrznej. Wystawione do świata serwery Memcached oferują ogromny mnożnik atakującym – na każdy wysłany do nich bajt ze sfałszowanym adresem nadawcy można liczyć na odpowiedź o rozmiarze 51 kilobajtów, wysłaną na adres celu ataku. Dzięki temu atakujący mogą osiągnąć efekt 51 000 razy mocniejszy niż gdyby atakowali serwer ofiary bezpośrednio, dodatkowo ukrywając swoją tożsamość. GitHub poinformował, że atak nadszedł z ponad tysiąca podsieci i dziesiątek tysięcy hostów. Widać zatem, że opisany trzy dni temu przez naszego rodaka pracującego w CloudFlare problem z serwerami Memcached jeszcze nie został rozwiązany przez ich administratorów.

źródło:zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *