GitHub пережил рекордную DDoS-атаку со скоростью 1,35 Тбит/с — крупнейшую за всю историю

• GitHub пережил крупнейшую в мире DDoS-атаку, когда-либо зарегистрированную. 
• В этой усиленной атаке использовалась техника на основе memcached, которая достигла скорости 1,35 терабит в секунду при передаче 126,9 миллиона пакетов в секунду. 

28 февраля 2018 года GitHub, самый популярный сервис обмена кодом и хостинга для контроля версий, столкнулся с крупнейшей когда-либо зарегистрированной DDoS-атакой (распределенный отказ в обслуживании). Из-за этого сайт не работал примерно на 10 минут (с 17:21 до 17:30 UTC).

Эта атака более чем в два раза превышала размер DDoS-атаки ботнета Mirai, произошедшей 20 сентября 2016 года. Однако существует большая вероятность, что она не останется крупнейшей атакой в течение длительного периода из-за возможностей отражения memcached.

Чтобы лучше объяснить, что же произошло на самом деле, мы опишем несколько фундаментальных терминов.

DDoS-атака  Это попытка сделать онлайн-сервис недоступным, загрузив его огромным количеством недействительного трафика из нескольких источников. В частности, злоумышленники пытаются перегрузить системы и помешать выполнению законных запросов. Поскольку недействительные запросы поступают из нескольких источников, невозможно остановить атаку, просто заблокировав один источник.

Обычно злоумышленники нацелены на широкий спектр важных сервисов и ресурсов, таких как новостные веб-сайты и платежные шлюзы. Эти нападения могут мотивироваться активизмом, шантажом и местью.

Memcached – Это бесплатная, высокопроизводительная, распределенная система кэширования объектов с открытым исходным кодом, обычно используемая для ускорения динамических веб-приложений путем кэширования данных и объектов в оперативной памяти. Это сделано для уменьшения количества операций чтения внешнего источника данных.

Это хранилище значений ключей в памяти для небольших фрагментов произвольных данных (например, объектов и строк) из результатов вызовов API, вызовов базы данных или рендеринга страниц.

Как работает атака?

Эта атака использует экземпляры случайно доступного memcached в общедоступном Интернете, работающего по протоколу пользовательских дейтаграмм (UDP). Ответы memcached могут быть направлены на другой адрес (например, те, которые используются для обслуживания GitHub) путем подмены IP-адреса. Это отправляет в цель смехотворно большой объем данных по сравнению с подлинными источниками.

Эта атака была совершенно уникальной (что еще хуже) — ее коэффициент усиления превышал 51 000, что означает, что на каждый байт, отправленный злоумышленником, в сторону цели отправляется до 51 килобайта. Сетевой провайдер смягчает атаку, фильтруя весь трафик, поступающий с UDP-порта 11211, порта по умолчанию, используемого memcached.

Инцидент

Атака произошла из более чем тысячи автономных систем на десятках тысяч различных конечных точек. В этой усиленной атаке использовалась техника на основе memcached, которая достигла скорости 1,35 терабит в секунду при передаче 126,9 миллиона пакетов в секунду.

Аномалия в соотношении входящего и исходящего транзитного трафика

Источник:GitHub Engineering

Github сообщил о быстром росте пропускной способности входящего транзита (достиг 100 гигабит в секунду), и они перевели трафик на Akamai, провайдера CDN, который предоставил дополнительную пропускную способность периферийной сети. Через четыре минуты после полного восстановления они отключили маршруты к интернет-биржам, чтобы отодвинуть от своей периферии еще 40 гигабит в секунду.

Все произошло в два основных этапа:первая часть атаки достигла пика в 1,35 Терабит в секунду (Тбит/с). Вторая часть состоялась в 18:00 UTC и увеличила скорость до 400 гигабит в секунду.

Что дальше?

За последние пару лет GitHub увеличил свою транзитную пропускную способность более чем вдвое, что позволило им противостоять такого рода атакам. И они постоянно развивают надежные пиринговые отношения на самых разных биржах.

Помимо GitHub, несколько организаций подверглись подобным атакам, и, по словам провайдера Akamai, в ближайшем будущем нас ждут еще более крупные атаки. С момента первого раскрытия информации они заметили значительное увеличение количества сканирования открытых серверов memcached.

Читайте:20 интересных фактов и статистики о GitHub

Хорошей новостью является то, что сетевые дистрибьюторы могут установить ограничение на трафик, поступающий с порта UDP 11211, и предотвратить вход и выход недопустимого трафика из сети, но реализация этого в очень больших масштабах займет некоторое время.