Na quarta-feira, 28 de fevereiro de 2018, o website do GitHub foi atingido pelo  maior ataque de negação de serviço (DDoS)  e  obteve um recorde de 1,35 Tbps.

Este ataque não foi projetado através de uma rede botnet. Em contraste, foi usada uma misconfiguration dos servidores Memcached para amplificar o ataque DDoS. Este é o novo plano dos atacantes, e foi  conhecido no inicio da semana.

Servidores Memcached usados massivamente em ataques DDoS

 

No ínicio da semana foi conhecido um report que detalhava como os hackers estão a abusar do Memcached, uma ferramenta open-source para sistemas de cache, e que foi usado para amplificar ataques DDoS com uma força 51.000 vezes superior ao seu impacto original.

O ataque DDoS funciona da seguinte maneira:  é enviado um request para o servidor Memcached para a porta 11211, e é usado um endereço de IP falso como target – o IP da vítima.

 

Alguns bytes enviados para o servidor Memcached podem despoletar centenas e centenas de respostas para o IP da vítima, causando assim o envio de uma grande carga de pedidos e causando o consequente DDoS.

“This attack was the largest attack seen to date by Akamai, more than twice the size of the September 2016 attacks that announced the Mirai botnet and possibly the largest DDoS attack publicly disclosed,” said Akamai, a cloud computing company that helped Github to survive the attack.

In a post on its engineering blog, Github said, “The attack originated from over a thousand different autonomous systems (ASNs) across tens of thousands of unique endpoints. It was an amplification attack using the memcached-based approach described above that peaked at 1.35Tbps via 126.9 million packets per second.”

 

Embora os ataques de amplificação não sejam novos, este vetor de ataque pode ser usado nos servidores Memcached mal configurados, muitos dos quais ainda estão expostos na Internet e podem ser explorados para lançar ataques ainda mais “destruídores” contra outros sistemas.

 

Como mitigar este problema?

Limitar o fluxo de tráfego UDP no porto do Memcached (11211).

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *