GitHub遭遇史上最大规模DDoS攻击

发布时间:2018-12-20 16:19:40 阅读:5985

北京时间2018年2月28日,美国东部时间同一天下午12:15,知名代码托管网站GitHub遭遇了史上规模最大的 DDoS 网络攻击,每秒 1.35 TB 的流量瞬间冲击了这一开发者平台。下图是GitHub当天遭受DDoS攻击的实时流量监控图,我们可以看出在当天北京时间下午17:25-17:30这段时间,GitHub遭受到的DDoS攻击流量峰值达到1.35Tb,创下了DDoS攻击每秒峰值的纪录。


GitHub 曾经试图反抗,但最终还是不得不借助 DDoS 防御服务提供商Akamai Prolexic 的帮助才艰难度过。Prolexic 接管了 GitHub 所有的信息流,通过清除和阻止恶意数据包迫使袭击者停止了攻击。Akamai 网络安全副总裁 Josh Shau 表示,“我们是基于互联网所见过的最大规模攻击的五倍来建模的,以前从没有遇到过这么大的流量”。作为全球最大的社交编程及代码托管网站,GitHub 一直很受攻击者的欢迎。2013年1月15日,来自12306 抢票插件用户的大量访问导致 GitHub 访问大幅放缓。2015年3月26日,攻击者利用劫持百度JS文件、跨域 <img> 攻击、DDoS 攻击、TCP SYN 攻击等方式持续狂轰GitHub 达六天之久。然而本周三的猛攻,却是 GitHub 有史以来面临的最严重的 DDoS 攻击事件。

图片1.png

来自DDoS的实时流量

   据悉,本次攻击并非依赖于传统的僵尸网络,而是使用了Memcached服务器。该服务器的设计初衷是提升内部网络的访问速度,而且是不应该被暴露在互联网中的,但是根据Akamai的调查至少有超过5万台此类服务器连接到了服务器上,因此非常容易受到攻击。犯罪分子可利用Memcache服务器通过非常少的计算资源发动超大规模的DDoS攻击,该漏洞是由于Memcache开发人员对 UDP 协议支持方式不安全所导致的,黑客能通过它轻易实现反射型 DDoS 攻击。那么什么是反射型 DDoS 攻击?犯罪分子是如何利用 UDP 协议进行攻击的?我们应该采取什么方式去减少它所带来的危害?360CERT 昨日发布的 Memcrashed 预警公告进行了解答。


事件背景

   黑客利用 Memcache 协议,会发送大量带有被害者 IP 地址的 UDP 数据包给放大器主机,然后放大器主机对伪造的 IP 地址源做出大量回应,形成分布式拒绝服务攻击,从而形成 DDoS 反射。下面是一个简单的攻击流程图:

图片2.png


漏洞细节

关于 DDoS 放大:

(1)作为攻击者,需要伪造IP,发送海量量伪造来源的请求。未采取BCP38 的机房(firewallrules and uRPF);

(2)作为反射服务器,需要满足2个条件。第一,上面运行着容易放大的UDP协议,即使用设计不当的 UDP 服务,能够满足特定条件下,响应包远远大于请求包。第二,该协议或服务在互联网上有一定的使用量,如DNS、NTP等基础服务;

(3)受害者一般是金融、游戏、政治等目标,或出于破坏、炫技等目的。

关于Memcrashed

(1)由于 Memcache 同时监听 TCP 和 UDP,天然满足反射 DDoS 条件;

(2)Memcache 作为企业应用组建,其业务特性保证了具有较高上传带宽;

(3)Memcache 不需要认证即可进行交互;很多用户在编译安装时,将服务错误监听在 0.0.0.0,且未进行 iptables 规则配置或云安全租户配置。

              攻击流程:

扫描全网端口服务;

进行指纹识别,获取未认证的Memcache;

过滤所有可以反射的UDP Memcache;

插入数据状态进行反射。


缓解措施

(1)对于Memcache使用者:

Memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置ACL或者添加安全组;为预防机器器扫描和SSRF等攻击,修改Memcache默认监听端口;升级到最新版本的 Memcache,并且使用SASL设置密码来进行权限控制。

(2)对于网络层防御:

多个ISP已经对UDP11211进行限速;打击攻击源,互联网服务提供商应当禁止在网络上执行 IP 欺骗;ISP 应允许用户使用 BGP flowspec 限制入站UDP11211的流量,以减轻大型DRDoS攻击时的拥堵。


由这次事件可以看出,DDoS攻击已成为主流的网络攻击手段,而防护以及抵御DDoS攻击的产品也就应运而生,也就是我们所称的DDoS高防业务。而我们亿林网络在18年下半年推出了“云防线”网络综合防护服务,其中的DDoS高仿业务为用户提供了三个档次的解决方案,我们的DDoS高防产品采用了特殊的替身式防护方式,相较于传统单一的网络防火墙,替身式防护方案可以在网站受到攻击时将攻击的流量进行分流,将正常流量导向安全节点,将DDoS攻击的流量以及其他的攻击流量分流到我们的云防线机房进行流量清洗,然后使用黑洞节点隔离受到攻击的网站,保护其他的网站不受影响。有效避免了真实服务器暴露,免受直接攻击。并且具备网站自定义规则,降低误报率,拥有近千条防护规则,在网站接入时,我们亿林的专业攻防团队会为每个用户的网站配置个性化规则,误报率低。从明年开始,我们亿林网络会将网络安全作为重点发展方向,为网络安全尽到自己的一份力!

 




  • QQ
    客服:李杉

    电话:81320066转995

  • QQ
    客服:赵丹

    电话:81320066转996

  • QQ
    客服:金忠杰

    电话:81320066转931

  • QQ
    客服:李璐昆

    电话:81320066转888

返回顶部