W mroźne popołudnie 28 lutego 2018 roku doszło do gigantycznego ataku DDOS na serwis GitHub. Zdarzenie to udowodniło, że właściciele witryn oraz firmy stojące na straży bezpieczeństwa danych, muszą być gotowi na coraz większe ataki – nawet takie, które przekraczają 1,3 terabita na sekundę.
Lekcja powtórkowa
O tym, czym są ataki DDOS, kto i dlaczego je przeprowadza, a także jak się przed nimi bronić, możesz przeczytać w jednym z poprzednich wpisów. Dla przypomnienia: atak DDOS (Distributed Denial of Service) polega na zalewaniu jednego serwisu gigantyczną ilością danych, co powoduje blokadę wybranych serwerów i uniemożliwia ich obsługiwanie.
Profil ofiary
Tym razem ofiarą ataku DDOS padł serwis hostingowy, w którym programiści mogą udostępniać stworzone przez siebie kody. Ta platforma programistyczna obsługuje miliony repozytoriów i udostępnia zarówno płatne, prywatne repozytoria, jak i darmowe programy open source. Ponadto oferuje między innymi zarządzanie kodami źródłowymi dla systemu kontroli wersji Git.
W czerwcu 2018 roku, czyli 4 miesiące po ataku, świat obiegła informacja o przejęciu serwisu przez Microsoft.
Opis zdarzenia
Atak miał miejsce 28 lutego 2018 roku i rozpoczął się około godziny 17.21 – wtedy to zanotowano nagły skok zapytań, skierowanych ku serwerom GitHuba. Cyberprzestępcy wywołali ruch na poziomie aż 1,3 terabita na sekundę, blokując dostęp do platformy. Nie pomogło nawet wcześniejsze podwojenie przepustowości łączy.
Mimo tak ogromnego zalewu serwerów GitHuba atak został skutecznie odparty po niespełna 10 minutach. Wszystko za sprawą błyskawicznych działań firmy Akamai Technologies, o której więcej już za chwilę.
Narzędzia zbrodni
Do ataku wykorzystano niezabezpieczone (nieprawidłowo skonfigurowane) serwery Memcached (Memcached do system, który usprawnia zarządzanie ruchem na danej stronie). Cyberprzestępcy podszyli się pod adres GitHub i wysłali do serwera bardzo dużą liczbę zapytań. Sęk w tym, że wysyłając zapytanie do Memcached, w odpowiedzi można otrzymać aż 50 razy więcej danych.
Co ciekawe, wcześniejsze ataki, które wykorzystywały serwery typu Memcached, wywoływały umiarkowany, w porównaniu do ataku na GitHub, ruch – na poziomie 40-50 gigabitów na sekundę.
Atak na GitHub pochodził z tysięcy hostów i ponad tysiąca różnych podsieci.
Profil wybawcy
Na ratunek serwisowi GitHub przyszła jedna z największych firm na świecie, która trudni się usprawnianiem pracy w sieci oraz przechowywaniem danych, czyli Akamai Technologies. Firma ta ma ogromne możliwości techniczne, dzięki czemu mogła szybko i sprawnie poradzić sobie z atakiem – posiada ponad 240 000 tysięcy serwerów w ponad 130 krajach. Jak można przeczytać na stronie formy, z jej usług skorzystało m.in. 60% firm z listy Global 500 i tyle samo z listy Fortune 500.
Skuteczność działań Akamai podczas ataku na GitHub polegała na przekierowaniu ruchu z serwisów GitHub do tzw. scrubbing centers. Są to miejsca w sieci, w których analizuje się ruch IP i odfiltrowuje niebezpieczne połączenia oraz unieszkodliwia zagrożenia. Inaczej mówiąc, w scrubbing center oczyszcza się połączenia z niebezpiecznych pakietów.
Do sieci Akamai docierało na 1 sekundę aż 127 milionów pakietów danych, które miały powędrować na serwery GitHub. Firma przyjęła więc na siebie atak skierowany na GitHub, skutecznie odpierając działania hakerów.
Jeśli zainteresowała Cię historia ataku na GitHub, zapoznaj się także z poprzednim wpisem o najciekawszych i największych atakach DDOS w historii internetu.