+46 голосов |
В эту среду GitHub, крупнейший сервис хостинга и совместной разработки ИТ-проектов испытывал перебои в работе длившиеся примерно 9 минут. Причиной тому стала наиболее масштабная из известных до сих пор кибератака, использовавшая новый элегантный метод, не требующий от хакеров создания и поддержания сети ботов.
В пике инцидента трафик достиг 1,35 Тб/с и превзошёл прежнее максимальное значение, зарегистрированное в 2016 г., когда хакеры саботировали работу Американской инфраструктурной компании Dyn — 1,2 Тб/с.
GitHub оставался офлайн лишь около пяти минут и ещё четыре минуты длились перебои с доступом. Оперативно отразить атаку удалось с помощью сервиса противодействия DDoS, Akamai Prolexic. Входящий и исходящий трафик GitHub был перенаправлен в «центры очистки» (scrubbing center) Akamai Prolexic, где из него извлекались и блокировались вредоносные пакеты.
«Мы моделировали свои возможности закладывая пятикратный запас прочности по сравнению с крупнейшей атакой, виденной в Интернете», — сообщил вице-президент веб-безопасности в Akamai, Джон Шол (Josh Shaul), после завершения инцидента с GitHub.
В диверсии против GitHub был использован новый, быстро набирающий популярность метод amplification attack. Он основан на многократном увеличении трафика с помощью технологии кеширования баз данных, memcached, служащей для ускорения работы сетей и веб-сайтов. Серверы memcached, принадлежащие частным компаниям и другим организациям, отвечают на любой запрос и не рассчитаны на использование в публичном Интернете, однако в настоящее время порядка 100 тыс. таких систем, не защищённых средствами аутентификации, доступны онлайн.
Неудивительно, что организаторы DDoS пришли к идее использовать этот протокол для запуска атак. Для этого злоумышленник сначала внедряет больший объём данных в уязвимый сервер memcached. Затем он подделывает запрос GET, подставляя в нём на место адреса отправителя IP жертвы. Теперь один короткий запрос на этот сервер обрушивает лавину трафика на целевой веб-ресурс.
«На практике мы наблюдали, как 15-байтовый запрос вызывает отклик в 750 кБ (это усиление в 51200 раз)», — сообщает Cloudflare в блоге, разъясняющем масштабы этой потенциальной угрозы.
Провайдеры Интернета сообщают о быстром росте атак memcached на протяжении последней недели. В большинстве из них трафик не превышает 40-50 Гб/с, но, например, в этот понедельник Prolexic участвовал в ликвидации memcached DDoS объёмом 200 Гб/с, нацеленной на объект в Мюнхене.
«Мы видим порядка 300 индивидуальных сканеров, которые ищут memcached, то есть, уязвимыми серверами интересуются по меньшей мере 300 злоумышленников», — пишет Дейл Дрю (Dale Drew), директор CenturyLink по стратегиям защиты.
Помимо борьбы с активными атаками аварийным блокированием всего трафика memcached, инфраструктурное сообщество Сети работает с владельцами открытых серверов, убеждая поместить их за брандмауэрами. Кроме того, в дальнейшем предполагается отфильтровывать поддельные запросы, чтобы останавливать атаку ещё до её запуска.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+46 голосов |