`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

GitHub подвергся крупнейшей в истории DDoS-атаке

+46
голосов
GitHub подвергся крупнейшей в истории DDoS-атаке

В эту среду GitHub, крупнейший сервис хостинга и совместной разработки ИТ-проектов испытывал перебои в работе длившиеся примерно 9 минут. Причиной тому стала наиболее масштабная из известных до сих пор кибератака, использовавшая новый элегантный метод, не требующий от хакеров создания и поддержания сети ботов.

В пике инцидента трафик достиг 1,35 Тб/с и превзошёл прежнее максимальное значение, зарегистрированное в 2016 г., когда хакеры саботировали работу Американской инфраструктурной компании Dyn — 1,2 Тб/с.

GitHub оставался офлайн лишь около пяти минут и ещё четыре минуты длились перебои с доступом. Оперативно отразить атаку удалось с помощью сервиса противодействия DDoS, Akamai Prolexic. Входящий и исходящий трафик GitHub был перенаправлен в «центры очистки» (scrubbing center) Akamai Prolexic, где из него извлекались и блокировались вредоносные пакеты.

«Мы моделировали свои возможности закладывая пятикратный запас прочности по сравнению с крупнейшей атакой, виденной в Интернете», — сообщил вице-президент веб-безопасности в Akamai, Джон Шол (Josh Shaul), после завершения инцидента с GitHub.

В диверсии против GitHub был использован новый, быстро набирающий популярность метод amplification attack. Он основан на многократном увеличении трафика с помощью технологии кеширования баз данных, memcached, служащей для ускорения работы сетей и веб-сайтов. Серверы memcached, принадлежащие частным компаниям и другим организациям, отвечают на любой запрос и не рассчитаны на использование в публичном Интернете, однако в настоящее время порядка 100 тыс. таких систем, не защищённых средствами аутентификации, доступны онлайн.

Неудивительно, что организаторы DDoS пришли к идее использовать этот протокол для запуска атак. Для этого злоумышленник сначала внедряет больший объём данных в уязвимый сервер memcached. Затем он подделывает запрос GET, подставляя в нём на место адреса отправителя IP жертвы. Теперь один короткий запрос на этот сервер обрушивает лавину трафика на целевой веб-ресурс.

«На практике мы наблюдали, как 15-байтовый запрос вызывает отклик в 750 кБ (это усиление в 51200 раз)», — сообщает Cloudflare в блоге, разъясняющем масштабы этой потенциальной угрозы.

Провайдеры Интернета сообщают о быстром росте атак memcached на протяжении последней недели. В большинстве из них трафик не превышает 40-50 Гб/с, но, например, в этот понедельник Prolexic участвовал в ликвидации memcached DDoS объёмом 200 Гб/с, нацеленной на объект в Мюнхене.

«Мы видим порядка 300 индивидуальных сканеров, которые ищут memcached, то есть, уязвимыми серверами интересуются по меньшей мере 300 злоумышленников», — пишет Дейл Дрю (Dale Drew), директор CenturyLink по стратегиям защиты.

Помимо борьбы с активными атаками аварийным блокированием всего трафика memcached, инфраструктурное сообщество Сети работает с владельцами открытых серверов, убеждая поместить их за брандмауэрами. Кроме того, в дальнейшем предполагается отфильтровывать поддельные запросы, чтобы останавливать атаку ещё до её запуска.

+46
голосов

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT