01.03.2018 | 17:33

Adam Haertle

Gigantyczny atak DDoS na GitHuba – 1,3 terabita na sekundę

Gdzie leży granica przepustowości złośliwych ataków odmowy usługi? Na jakie ataki muszą przygotować się usługodawcy? Wraz z ewolucją nowych metod ataków przesuwa się granica – i obecnie wynosi 1,3 terabita na sekundę.

Wczoraj popularny serwis programistyczny GitHub odnotował kilkuminutową przerwę w działalności. Dzisiejszy komunikat techniczny wskazuje, że przyczyną był gigantyczny atak odmowy usługi, w którym napastnicy zalewali serwery GitHuba ogromnym strumieniem danych.

Szczegóły ataku

O godzinie 17:21 GitHub odnotował znaczący i nagły wzrost ilości ruchu przychodzącego do swoich serwerów. Mimo niedawnego podwojenia przepustowości wykorzystywanych łączy ruchu było tyle, że zablokowana została możliwość korzystania z serwisu. GitHub skorzystał zatem z umów wcześniej zawartych z firmą Akamai, co pozwoliło na przyjęcie uderzenia przez partnera o większych możliwościach technicznych. Około 17:30 sytuacja została opanowana i strona powróciła do życia. Skalę ataku najlepiej obrazuje wykres przygotowany przez Akamai.

W szczytowym momencie ataku złośliwy ruch osiągał przepustowość rzędu 1,35 terabita na sekundę. Do sieci Akamai docierało 127 milionów pakietów na sekundę z przeznaczeniem dla serwerów GitHuba. Wcześniejszy najsilniejszy odnotowany i ujawniony atak sięgał 1,2 terabita na sekundę i dotknął firmę Dyn oraz – pośrednio – wiele popularnych usług internetowych które z jej usług korzystały.

Czego użyto do ataku

Co ciekawe, atak przeprowadzono niedawno szerzej opisaną metodą, wykorzystującą nieprawidłowo skonfigurowane serwery Memcached, przydatnej usługi pomagającej w zarządzaniu dużym ruchem na stronie. Niestety wielu posiadaczy Memcached zapomniało, że usługa ta nie powinna być dostępna dla każdego użytkownika internetu, a jedynie dla sieci wewnętrznej. Wystawione do świata serwery Memcached oferują ogromny mnożnik atakującym – na każdy wysłany do nich bajt ze sfałszowanym adresem nadawcy można liczyć na odpowiedź o rozmiarze 51 kilobajtów, wysłaną na adres celu ataku. Dzięki temu atakujący mogą osiągnąć efekt 51 000 razy mocniejszy niż gdyby atakowali serwer ofiary bezpośrednio, dodatkowo ukrywając swoją tożsamość. GitHub poinformował, że atak nadszedł z ponad tysiąca podsieci i dziesiątek tysięcy hostów. Widać zatem, że opisany trzy dni temu przez naszego rodaka pracującego w CloudFlare problem z serwerami Memcached jeszcze nie został rozwiązany przez ich administratorów.

Powrót

Komentarze

  • 2018.03.01 19:32 Michal

    Do dobrego zwyczaju należy filtrowanie (lub chociaż rate limit) memcached i kilkunastu podobnych protokołów na brzegu sieci, żeby nie brać udziału w ataku.

    Mnie to nie pomoże, ale innym tak.

    Żeby to tylko było nieco popularniejsze.

    Odpowiedz
  • 2018.03.01 20:00 bieda

    pytanie, po co komu atakować githuba?

    Odpowiedz
    • 2018.03.01 21:11 No one

      Trening, pokaz siły lub testy do czegoś większego. Wątpię, żeby ktoś od tak zaatakował GitHuba, dla zabawy.

      Odpowiedz
    • 2018.03.01 21:40 Marcin

      Może to Apple w zamian za to, że nie chcieli usunąć iOSa.:)

      Odpowiedz
      • 2018.03.01 22:37 cokolwiek

        to na pewno odpowiedź więtego Mikołaja na listy niegrzecznych dzeci

        Odpowiedz
    • 2018.03.01 22:01 bogactwo

      Ktoś sobie botnet testuje :)

      Odpowiedz
    • 2018.03.02 08:47 Tomasz

      Zawsze należy zadać sobie pytanie: Kto zyskał na zdarzeniu ? W tym przypadku jest to świetna reklama dla Akamai

      Odpowiedz
      • 2018.03.03 23:10 szulak

        Kto jak kto, ale Akamai chyba nie musi się reklamować ;)

        Odpowiedz
    • 2018.03.03 08:36 K6T

      @bieda moglo byc np tak, ze ktos szantazuje ta firme – chce kase za odstapienie od atakow.

      Odpowiedz
  • 2018.03.01 22:10 Ano

    Czy przy takim zatkaniu GITHUBa jest szansa na przechwycenie czyjegoś commita lub podstawienie mu zmodyfikowany serwis i/lub pliki? Jeśli tak to w ciągu kilku tygodni wyjdzie, że jakieś znane oprogramowanie miało „wklejki”.

    Odpowiedz
    • 2018.03.02 09:26 Hoo

      A jak zablokujesz wejscie do klatki schodowej to jest szansa ze ci ktos ukradnie laptopa z mieszkania?

      Odpowiedz
    • 2018.03.02 09:52 Wujek Pawel

      W jaki niby sposob takie przechwycenie commita mialoby sie odbyc? Zakladajac, ze atakujacy nie jest MITM.

      Odpowiedz
    • 2018.03.02 19:39 MatM

      Nie, nie ma takiej szansy. Zasada działania Git praktycznie eliminuje takie „wrzutki” a jeśliby się coś takiego zdarzyło (zakładając złamanie SSL przy transporcie i paru innych rzeczy), dość szybko można się zorientować, że repozytoria się „rozjechały”. Rozproszony system zarządzania kodem źródłowym dość dobrze chroni przed naruszeniami integralności. Prawdopodobnie cała akcja to zasłona dymna i test czegoś zupełnie innego.

      Odpowiedz
  • 2018.03.01 22:42 M.

    Ciekawe czy dojdą do takiego zakresu, żeby zrobić DDoS nie na serwery danej firmy, ale żeby zatkać całe łącze, np. podmorski światłowód.

    Odpowiedz
    • 2018.03.02 12:32 Jonasz

      A to już nie robią na DNS-y ataków albo na najpopularniejsze usługi typu Akamai jakoś rok temu, gdy 30% internetu po prostu zamarło?

      Odpowiedz
  • 2018.03.02 07:45 zenek

    Chińczycy?

    Odpowiedz
    • 2018.03.02 09:53 Wujek Pawel

      Japonczycy i Tajowie.

      Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Gigantyczny atak DDoS na GitHuba – 1,3 terabita na sekundę

Komentarze