بزرگترین حمله DDoS با سرعت ۱٫۳۵ تترابیت در ثانیه علیه وب‌سایت Github

در روز چهارشنبه ۲۸ فوریه ۲۰۱۸، وب‌سایت میزبانی کد^(۱) Github در معرض برزگترین حمله DDoS قرار گرفت که رکورد حملات DDoS قبلی را با سرعت ۱٫۳۵ تترابیت در ثانیه شکست.

جالب توجه است که مهاجمان از شبکه‌ بات‌نت استفاده نکردند، بلکه به جای آن سرو‌رهای Memcached را به صورت غلط تنظیم کرده بودند تا حمله DDoS را تقویت کنند.

در هفته گذشته گزارشی مبنی بر اینکه چگونه مهاجمان می‌توانند از Memcached سوء استفاده کنند منتشر شد که این روش حمله می‌تواند بیش از ۵۱٫۰۰۰ بار از حمله DDoS قوی‌تر باشد[۱]. Memcached یک سیستم caching توزیع مجدد محبوب منبع باز است که به راحتی قابل پیاده‌سازی است.

این حمله تقویت شده DDoS که Memcached نامیده شده است به روش ارسال یک درخواست دستکاری شده به سرور Memcached مورد هدف بر روی پورت ۱۱۲۱۱ و با استفاده از یک IP جعلی که با IP قربانی همخوانی دارد، انجام می‌شود.

ارسال چندین بایت درخواست به سرور آسیب‌پذیر، ده‌ها هزار بار پاسخ بزرگتری را نسبت به آدرس IP هدف باعث می‌شود.

Akamai، که یک شرکت محاسباتی ابری است که به Github کمک کرد تا از این جمله نجات پیدا کند در اینباره گفت[۲]: “این حمله بزرگترین حمله‌ای بود که توسط Akamai دیده شده است و بیش از دو برابر بزرگتر از حملات سپتامبر ۲۰۱۶ اعلام شده که حمله Mirai نام داشت[۳] و احتمالا بزرگترین حمله DDoS است که به طور عمومی منتشر شده است.”

Github در یک پست در وبلاگ فنی خود گفت[۴]: “این حمله از بیش از هزار سیستم مختلف خودمختار^(۲) از ده‌ها هزار نقطه منحصر به فرد آغاز شد. این حمله نوعی حمله تقویت شده مبتنی بر Memcached است که در بالا شرح داده شد و با سرعت بیشینه ۱٫۳۵ تترابیت در ثانیه و از طریق ارسال ۱۲۶٫۹ میلیون بسته در ثانیه انجام شد.”

در انتظار حملات بیشتر DDoS تقویت شده باشید.

اگرچه حملات تقویت شده جدید نیستند، اما این بردار حمله هزاران سرور غیرمجاز Memcached را ایجاد می‌کند که بسیاری از آن‌ها هنوز در اینترنت مشاهده می‌شوند و می‌توانند برای حملات بالقوه بزرگتر به زودی و در برابر اهداف دیگر مورد بهره برداری قرار گیرند.

برای جلوگیری از سوء استفاده از سرورهای Memcached به عنوان بازتابنده‌ها^(۳)، مدیران سیستم باید استفاده از فایروال‌ها، مسدود کردن یا محدود کردن UDP را در پورت ۱۱۲۱۱ به عنوان راه‌حال‌های در پیش رو مد نظر داشته باشند و یا در صورت عدم استفاده از UDP، آن را به طور کامل غیرفعال کنند.

منابع

[۱] https://thehackernews.com/2018/02/memcached-amplification-ddos.html

[۲] https://blogs.akamai.com/2018/03/memcached-fueled-13-tbps-attacks.html

[۳] https://thehackernews.com/2016/10/ddos-attack-mirai-iot.html

[۴] https://githubengineering.com/ddos-incident-report/

[۵] https://thehackernews.com/2018/03/biggest-ddos-attack-github.html

(۱) code hosting
(۲) autonomous systems (ASNs)
(۳) reflectors