2018年进入3月份以来,知名代码托管网站 GitHub 就遭遇了有史以来最严重的 DDoS 网络攻击,峰值流量达到了前所未有的 1.35Tbps。消息一出,全世界的程序员立马炸了锅,知道我们这里有多少牛人么,连我们都敢黑?!
作为开源代码库以及版本控制系统,Github 拥有上百万的开发者用户,被坊间称为程序员的“另类”社交网络、 全球最大的黑客聚集地。
但即使社区牛人再多,它也未逃 DDoS 攻击魔掌,据外媒 bleepingcomputer 透露,攻击者是利用前不久公开的 Memcached 漏洞执行攻击,能成倍的放大攻击效果,被称为 DRDoS 反射攻击。
那么,与传统的 DDoS 相比,何为 DRDoS 反射攻击?Github 目前情况如何?如再有黑客利用 Memcached 漏洞进行攻击,应该怎么防?
从小米加步枪到飞机加大炮
大家都知道,DDoS 攻击的特点就是利用如潮水般的流量同时涌入网站,不过本次攻击不同之处在于采用了更厉害的放大技术,目的是能对主机服务器产生更严重的影响。
其实,Memcache 本身是一套分布式的高速缓存系统,目前被许多网站使用以提升网站的访问速度,尤其对于一些大型的、需要频繁访问数据库的网站效果显著。
其实早有安全团队在去年年中就针对 Memcache 放大的攻击技术发布了预警。
之所以被称作放大的 DDoS 攻击,是因为攻击者利用 Memcached 协议,发送大量带有被害者 IP 地址的 UDP 数据包给主机,然后放大,主机对伪造的 IP 地址源做回应,形成分布式拒绝服务攻击,从而形成 DRDoS 反射。
对这次事件和相关技术进行了持续监控的 360 安全团队 0Kee Team 李丰沛介绍,之所以 Memcached 被黑客盯上,有两个原因。
一是因为当被用作反射点时,它的放大倍数超高,可超过 5 万倍。对比其他常见 DDoS 的反射点,放大比率通常只有 10 到 100 倍之前。
比如,一个 203 字节的传入 Memcached 请求会导致大约 100 兆字节的响应。
如果说之前传统的 DDoS 攻击是小米加步枪,这次针对 Memcache 的 DRDoS 攻击则是飞机加大炮。
二是,Memcached 服务器往往是企业用来做数据服务的,所以服务器的资源好,有比较大的带宽。如果单台服务器能打出 1Gbps 攻击带宽的话,只要 1000 台服务器就能打出 1Tbps 的攻击带宽了。而 11 月份统计的数据线网中受影响的设备可能有 6 万台。
其实,为了安全起见,Memcache 应该是不能暴露在互联网中的。此类服务器没有认证协议,连接到互联网中意味着任何人都可以查询它们。
在此前的研究报告中,360 的 0Kee 团队预估 Memcached 服务器可能会被滥用以发起约 2Tbps 的 DDoS 攻击,也就是说,这次针对 GitHub 的攻击也许只用了六七成的功力。
目前 GitHub 情况如何?其他网站如何预防?
据雷锋网了解,GitHub 在得到 Akamai 的帮助后,在不到 10 分钟的时间内化解了这次危机。GitHub 也证实,网站上用户数据的机密性和完整性没有受到影响。
恩,程序员哥哥们的头发没有白掉,代码还在。
据了解,目前在外开放的 Memcache 存储系统数量级在十万左右,都可能会受到此类攻击影响。而且预计会出现更多利用 Memcached 进行 DRDoS 的事件,如果本次攻击效果被其他 DDoS 团队所效仿,将会带来后果更严重的攻击。
李丰沛告诉雷锋网,暴露在互联网中归根结底是用户和他的供应商的选择,之后建议大家就不要轻易暴露,即使暴露,也应该加上用户口令认证或者网络访问限制等。
以下是他提出的相关建议。
对于 Memcache 使用者,
1. Memcache 的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置 acl 或者添加安全组。
2. 为预防机器器扫描和 ssrf 等攻击,修改 memcache 默认监听端口。
3. 升级到最新版本的 memcache,并且使用 SASL 设置密码来进行权限控制。
对于网络层防御,
1. 多个 ISP 已经对 UDP11211 进行限速。
2. 打击攻击源:互联网服务提供商应当禁止在网络上执行 IP 欺骗。IP 欺骗 DRDoS 的根本原因。具体措施可以参考 BCP38。
3. ISP 应允许用户使用 BGP flowspec 限制入站 UDP11211 的流量,以减轻大型 DRDoS 攻击时的拥堵。
延伸阅读:2015 年 GitHub 也曾遭遇 DDoS 攻击
要说,这也不是 GitHub 第一次被黑客盯上了。
早在 2015 年 3 月 26 日,它就遭遇了当时也被称为“史上最大规模的 DDoS 攻击”,而且一直持续到了 4 月 7 号,算下来有将近两周的时间。
GitHub 指出,攻击者的目的是逼迫 Github 移除反审查项目 Greatfire。
GitHub 官方博客发文指出,攻击者的目的是逼迫 Github 删除某些特定内容的页面。根据第三方的研究称,此次攻击采用了 HTTP 劫持,加密连接不受影响。攻击者的设备设在国际互联网和国内互联网的边界上,用恶意的代码替代百度的 js 文件,载入恶意代码后用户的浏览器将会以每 2 秒一次的频率,访问域名 https://github.com/greatfire/和 https://github.com/cn-nytimes/。
据悉,攻击者先后使用了四种 DDoS 技术攻击 GitHub:
第一波是创造性的劫持百度 JS 文件利用中国海外用户的浏览器每 2 秒向托管在 GitHub 上的两个反审查项目发出请求,这一手段被 GitHub 用弹出 JS 警告 alert ()防住;
第二轮是跨域<img> 攻击,被 GitHub 检查 Referer 挡住;
第三波是 DDoS 攻击 GitHub Pages;
第四波是正在进行中的 TCP SYN 洪水攻击,利用 TCP 协议缺陷发送大量伪造的 TCP 连接请求,让 GitHub 耗尽资源
最后,Github 的反制措施是用 alert (“WARNING: malicious javascript detected on this domain”)替换了原网页的内容。
