Краят на февруари ще се запомни в историята на интернет с най-мощната (за сега) DDoS атака. За разлика от предишния рекордьор от 2016 г. обаче, този път атаката на практика не успя да нанесе щети и беше преустановена за по-малко от половин час. Въпреки това тя е знак какво предстои и показва важна нова тенденция за киберсигурността.
Какво се случи?
На 28-ми февруари в 19:21 часа българско време популярната платформа за програмисти GitHub става недостъпна. Това продължава 5 минути и след това има още 4 минути със затруднен достъп. След това всичко изглежда наред.
В действителност, още от 19:15 часа GitHub се оказва под сериозна DDoS атака, съобщи първо сп. Wired. DDoS атаките са стар и популярен метод даден сайт или мрежа да бъдат сринати с огромно количество заявки наведнъж. Така сървърите не могат да обработват цялото количество данни и блокират, а информацията в тях става недостъпна докато атаката не бъде преустановена.
Точно това се случва и с GitHub, при това в исторически мащаби. В блога си GitHub съобщава, че атаката е била идентифицирана в 19:21 часа, като е достигнала 1.35 Tbps с общо 126.9 млн. пакета в секунда. В 19:26 часа целият трафик от и за GitHub е предаден на компанията Akamai, която има специална защитна система от DDoS атаки. Тя е активирана веднага и за 4 минути се справя изцяло с атаката, която е преустановена. Малко след 20 часа има втора вълна, която обаче е значително по-слаба и също не затруднява защитите на Akamai.
Последствията от DDoS атаката
GitHub казва, че в нито един момент данни на компанията или на потребителите ѝ са били застрашени. Компанията допълва, че ще продължи да развива системите си за сигурност, да добавя още капацитет към инфраструктурата си и да залага повече на автоматизация на системите за реакции при атаки.
Akamai казва, че атаката е била първо реално изпитание за новата ѝ система за защита Prolexic. Тя обработва трафика през собствени сървъри и открива и блокира подозрителните и зловредните пакети. Така некоректният трафик се филтрира и по-бързо се възстановява нормалното натоварване към атакуваните сървъри.
Prolexic е разработена да издържи на 5 пъти по-голяма атака от досегашния рекордьор – DDoS атаката през 2016 г., която повлия на интернет връзката на милиони потребители в САЩ и затрудни достъпа до популярни медии и социални мрежи. Тогава пикът на атаката достигна 1.2 Tbps. „Затова щях да съм уверен, че системата ни ще се справи и с 1.35 Tbps, но в същото време това никога досега не се беше случвало. Едно е да имаш увереност, друго е да видиш как реално се случва точно както си се надявал”, коментира Джош Шаул, вицепрезидент на Akamai пред Wired. Едно от важните последствия е, че системата явно работи добре и това означава, че DDoS атаките може да не са чак толкова страшни занапред.
Нови тенденции
Очаквания и реалности може отново да се разминат. DDoS атаката към GitHub е извършена с не толкова нов, но набиращ популярност метод, наречен Memcrashed. За целта се използват memcached сървъри, които са с уязвим порт 11211. Според отделен анализ на Cloudflare, публикуван само ден преди атаката срещу GitHub, има огромен брой такива сървъри, които са уязвими и са по целия свят. По данни на Shodan има поне 88 000 уязвими memcached сървъра, които могат да се използват за такива атаки. Juniper Networks пък изчислява над 90 000 подобни сървъра, които са незащитени и публично достъпни.
Те са доста по-лесна мишена за хакерите. Нужно е единствено да копират IP адреса на жертвата си и да пратят заявка до такъв сървър за информация от нейно име. Например статистически данни за потреблението. Така сървърът ще отговори с голям обем информация до оригиналния IP адрес. Колкото повече заявки към колкото повече такива сървъри – толкова повече информация се „изсипва” върху мишената. Така се осъществява DDoS атака с минимални усилия, с публично достъпни, незащитени сървъри и няма нужда от изграждане на ботнет с вируси.
Cloudflare предупреждава, че този метод най-вероятно ще продължи да набира популярност. Той позволява реализирането на още по-мощни DDoS атаки и според анализаторите такива предстоят все по-често. Затова е важно притежателите на memcached сървъри да се убедят, че те са конфигурирани правилно, а компаниите да са подготвени да реагират бързо, за да може всичко да премине възможно най-безболезнено в случай на атака.
