На GitHub обрушилась сильнейшая DDoS-атака за всю историю наблюдений, пиковая мощность которой достигала 1,35 Тб/сек. Специалисты объясняют, что виной всему не очередной ботнет, а амплификация DDoS посредством уязвимых Memcached-серверов.
О проблеме, которую представляют собой плохо настроенные и уязвимые Memcached-серверы, стало широко известно в начале текущей недели. Тогда специалисты компаний Qrator Labs, Cloudflare, Arbor Networks и Qihoo 360 практически одновременно сообщили о том, что Memcached начали использовать для амплификации DDoS-атак. Эксперты подсчитали, что таким образом атаку можно усилить примерно в 51 200 раз и предупредили о возможных серьезных последствиях.
Напомню, что Memcached – это ПО, реализующее сервис кэширования данных в оперативной памяти на основе хеш-таблицы. Фактически, Memcached помогаем администраторам снять нагрузку с БД, улучшив производительность веб-приложений и облегчив задачи, связанные с масштабированием. Memcached используют тысячи сайтов (около 93 000 серверов, по данным Shodan), включая таких гигантов, как Facebook, Flickr, Twitter, Reddit, YouTube, GitHub.
Еще в начале недели специалисты предупреждали о начавшейся волне атак, усиленных посредством Memcached, и писали, что в данном случае запрос, объемом всего 15 байт, может превращаться в ответ размером 134 Кб (то есть запрос на 203 байт обернется ответом на 100 мегабайт). При этом исследователи предупреждали, что для амплификации атак уже используются серверы таких крупных хостинг-провайдеров, как OVH, Digital Ocean, Sakura.
Теперь прогнозы специалистов начали воплощаться в жизнь: жертвой рекордной по мощности DDoS-атаки стал GitHub. Инженеры компании Akamai, первыми зафиксировавшие случившееся, пишут, что данный инцидент нельзя сравнивать даже с нашумевшими атаками ботнетов Mirai, произошедшими в 2016 году и до недавнего времени считавшимися наиболее разрушительными.
Представители GitHub сообщили, что атака исходила от тысячи различных автономных систем и десятков тысяч уникальных эндпоинтов. В пиковые моменты мощность атаки достигала 126,9 млн пакетов в секунду.
Теперь эксперты предупреждают, что мощнейшая атака на GitHub – это, скорее всего, только начало. Дело в том, что ранее представители Qrator Labs и Cloudflare уже сообщали об отражении Memcached-атак мощностью 260-480 Гб/сек. Теперь произошла атака мощностью 1,35 Тб/сек. Но еще в 2017 году исследователи компании 0Kee Team, одними из первых обнаружившие данный вектор амплификации, писали, что усиленные с помощью Memcached атаки могут достигать и 2 Тб/сек.
Специалисты настоятельно рекомендуют блокировать или ограничить UDP для порта 11211, на котором работает Memcached. Так как Memcached "слушает" INADDR_ANY, и поддержка UDP включена по умолчанию, администраторам рекомендуется отключить UDP вовсе, если это возможно, а лучше защитить сервер файрволом или разместить в закрытой сети. Подробные инструкции можно найти, например, в блоге компании Cloudflare.
