史上規模最大的DDoS攻擊來襲，「碼農天堂」GitHub如何抵抗攻擊？

在美國東部時間 2 月 28 日下午 12:15，代碼託管平台、有著「碼農天堂」之稱的 GitHub 幾乎一瞬間收到了 1.35 Tbps（兆兆位/秒）的流量訪問。這是互聯網有史以來規模最大、威力最大的分散式拒絕服務（DDoS）攻擊。此次攻擊使用了一個越來越流行、不需要任何殭屍網路的攻擊手段。

雖然 GitHub 的防禦系統一直在十分努力地抵抗，但是該網站卻開始間歇性掉線。在 10 分鐘之內，GitHub 就自動呼叫了「援兵」：DDoS 緩解服務公司 Akamai Prolexic。作為中間方，一切出入 GitHub 的數據都會先被導向 Prolexic 的「洗刷中心」，把所有惡意數據包挑出並禁止。在 8 分鐘之後，攻擊者發現攻擊沒有產生任何作用，於是選擇了撤退，停止了這次攻擊。

這場毫無硝煙的「電子戰」的規模之龐大，只有去年互聯網基礎服務公司 Dyn 被攻擊一案可以媲美。那次的攻擊者釋放了峰值為 1.2Tbps 的數據流，並導致美國東海岸多個大型網站因域名服務的消失而無法訪問。

在 GitHub 的攻擊結束後，Akamai 公司的網路安全副總裁 Josh Shaul 表示說：「我們是按照互聯網有史以來規模最大的攻擊的 5 倍規模來設計我們的容量的。所以我很肯定我們可以承受 1.3Tbps。但是我們卻從未見過 1.5T 以上的數據一瞬間流入。有信心是一碼事兒，看到它如你想像一般工作則是另一碼事兒了。」

圖 | 這場 DDoS 攻擊的實時數據流圖表（來源：Akamai）

Akamai 對此次攻擊採取了多種防禦手段，除了 DDoS 防禦設施之外，該公司近期還設計了一種專門針對來自 memcached 伺服器的 DDoS 攻擊的特殊防禦手段。作為網路服務加速器的 memcached 伺服器本不該被暴露在公共網路上，因為任何人都可以向它們提出詢問（query），它們也會回復一切詢問。但目前，網上大約有 10 萬台來自企業與大小組織的 memcached 伺服器在沒有任何認證保護下被暴露了出來。這意味著任何攻擊者都可以利用它們，通過向它們傳輸一個指令來讓它們給出一個「巨大」的回復。

與其他大規模 DDoS 攻擊（比如 Dyn 和法國電信公司 OVH 事件）不同的是，memcached DDoS 攻擊並不需要一個被病毒感染的殭屍網路。攻擊者僅需虛擬出其目標的 IP 地址，然後用這個地址向那些暴露的 memcached 伺服器高速發送詢問（大約每個伺服器每秒 10 個）。這些詢問就是以尋求最大的回應而設計的。因此，這些 memcached 系統會將一個大 50 倍的數據包回復給目標。

這種 DDoS 手段叫「放大攻擊」（Amplification Attack），已經不是第一次出現了。隨著網路服務商和網路設施供應商在過去的幾周里發現 memcached DDoS 攻擊出現得越來越多，他們迅速做出了反應，禁止了一切來自於 memcached 伺服器的數據。

「大型 DDoS 攻擊，比如那些通過濫用 memcached 伺服器實現的攻擊已經給網路運營商帶來極大的困擾。」網路安全公司 Arbor Networks 的首席工程師 Roland Dobbins 說道。Dobbins 一直在跟蹤 memcached 攻擊的趨勢，他認為「它們巨大的數據量將極大地影響網路服務處理用戶請求的能力」。

在另一方面，全球的網路供應商群體也在試圖從根本上解決這個問題。它們已經向暴露的 memcached 伺服器的主人提出了建議，希望它們將這些伺服器從公共網路上撤下來，放在防火牆後的內部私人網路中。

而 Prolexic 這些需要抵抗 DDoS 攻擊的網路安全服務商則正在對其防禦系統進行緊急更新，添加可以察覺到的 memcached 數據流，並立刻對其進行禁止過濾器。甚至如果骨幹網路運營商可以找出 memcached 攻擊所使用的指令，它們可以先一步禁止一段網路中出現任何 memcached 數據。

網路服務供應商 CenturyLink 的首席安全戰略官 Dale Drew 表示：「我們將對這種攻擊所使用的具體指令進行過濾，讓它們甚至無法發出攻擊」。然而，各公司需要迅速實施這些防禦手段，「因為我們已經察覺到了 300 個掃描器正在尋找 memcached 伺服器，所以外面至少有 300 個壞蛋正在尋找暴露的伺服器」，Drew 說道。

絕大多數 CenturyLink 所見到的 memcached DDoS 攻擊最多只會產生 40～50 Gbps，但是已有越來越多的人開始發現 500 Gbps 以上的攻擊。2 月 25 日，Prolexic 為德國慕尼黑的一個目標成功防禦了一次 200 Gpbs 的 memcached DDoS 攻擊。

2 月 28 日的這場攻擊，並非 GitHub 遭遇的首次 DDoS 攻擊。該平台在 2015 年 3 月曾遭到了一次為期 6 天的攻擊。對於 2015 年的技術來說，當年那場攻擊已經十分出色了。但 DDoS 攻擊的技術和平台，尤其是由物聯網設備組成的殭屍網路已經大幅度進化，它們的威力也因此隨之暴增。而對於使用 memcached DDoS 攻擊的黑客來說，這種手段的優勢在於他們並不需要散布任何病毒，也不需要維持任何殭屍網路。

互聯網監督與網路情報公司 ThousandEyes 全程目睹了 2 月 28 日的攻防戰。其產品營銷副總裁 Alex Henthorne-Iwane 表示：「這是場成功的防禦戰。一切在 15～20 分鐘之內就結束了。如果你看一下全球的數據，你會發現僅在『察覺』DDoS 攻擊這一項上就需要一個小時以上，意味著它的背後很有可能有一個人類在進行分析，給出結論。當一切在 20 分鐘之內結束，你就知道這主要是由軟體驅動的。我們很欣慰能看到（軟體）成功的範例。」

在攻擊的峰值過去之後，GitHub 還繼續的將一切數據導向 Prolexic，以確保一切真正的結束了。Akamai 的 Shaul 表示，他懷疑攻擊者之所以選擇針對 GitHub，可能只是因為它是一個著名的網路服務商，一旦成功攻陷將為攻擊者帶來極大的名氣。他們也有可能希望從中獲取一筆「贖金」。「這場攻擊十分短暫」，Shaul 說道，「我認為因為它沒有造成任何影響，攻擊者就不再願意在上面浪費任何時間了。」

不過，如果那些暴露的 memcached 伺服器不能在短時間之內從公共網路上撤下來，懷有惡意的黑客們很可能再次發起一次大規模的 DDoS 攻擊。