Nella giornata di mercoledì la nota piattaforma GitHub ha subito un enorme attacco DDoS con una portata di 1,35 Tbs, un vero record per questo tipo di attacco.
Utilizzati server Memcached per l’attacco
Solitamente attacchi di questo tipo richiedono una botnet, in questo caso invece sono stati usati server Memcached, ovvero un software open source di libero utilizzo che implementa un sistema distribuito di caching di oggetti in memoria ad alte prestazioni, progettato per alleviare il carico dei database e aumentare le prestazioni di applicazioni Web dinamiche ed altri servizi Internet.
Questo dovuto al fatto che il sistema ha delle porte accessibili dall’esterno le quali possono esser sfruttate per eseguire attacchi DDoS reflection/amplification, in aggiunta questi server sono liberamente accessibili essendo sprovvisti di protocolli di autenticazione. La causa sta in una vulnerabilità nell’implementazione del protocollo UDP nei server Memcached.
L’attacco infatti utilizza una porta UDP e viene eseguito memorizzando un payload di grandi dimensioni in un server Memcached vulnerabile, inviando successivamente un comando di richiesta “get” eseguendo lo spoofing dell’indirizzo IP sorgente della macchina obiettivo dell’attacco.
Nessun danno per GitHub
Fortunatamente la piattaforma GitHub ha richiesto aiuto in tempi brevissimi ai server Akamai i quali sono disegnati per sopportare un grandissimo traffico dati utili per mitigare questo tipo di attacchi e sono intervenuti assorbendo quindi la maggior parte di questo attacco.
In futuro, finché il problema relativo i server Memcached non sarà risolto, ci saranno sempre più attacchi di questa portata, per questo motivo gli amministratori di rete potrebbero considerare di bloccare, limitare o addirittura (se non in uso) disabilitare la porta UDP 11211.
Di seguito uno stralcio del report di GitHub:
Between 17:21 and 17:30 UTC on February 28th we identified and mitigated a significant volumetric DDoS attack. The attack originated from over a thousand different autonomous systems (ASNs) across tens of thousands of unique endpoints. It was an amplification attack using the memcached-based approach described above that peaked at 1.35Tbps via 126.9 million packets per second.
Via (anche per immagine copertina): Neowin.net February 28th DDoS Incident Report
