1.35TB超大流量DDoS攻擊 GitHub遭遇memcrashed DDoS放大攻擊

昨天，安全加報道了 放大上萬倍的DDoS放大攻擊Memcrashed攻擊來襲 ，也就是在3月1日，githubengineering公告了周三GitHub遭遇了 memcrashed DDoS放大攻擊，流量峰值達到1.35Tbps，如下為其文章內容。

2018年2月28日星期三由於分散式拒絕服務 DDoS攻擊 ，GitHub.com從UTC時間17:21至17:26不可用，並且從17:26至17:30 UTC間歇性不可用。 我們了解您對GitHub的依賴程度，我們知道我們服務的可用性對我們的用戶至關重要。 需要注意的是，您的數據的機密性或完整性不存在風險。 我們對此事件的影響感到抱歉，並希望描述事件，我們為推動可用性所做的努力，以及我們如何旨在改善前進中的響應和緩解。

2月28日的DDoS事件報告

背景

Cloudflare在本周的博客文章中描述了一種在UDP上使用 memcached 的擴增向量， 「Memcrashed - 來自UDP埠11211的主要放大攻擊」 。 攻擊通過濫用在啟用UDP支持的情況下無意訪問公共Internet上的memcached實例。欺騙IP地址允許memcached的響應針對另一個地址，比如用於服務GitHub.com的地址，並向目標發送更多數據，而不是由未打開的源發送。 由於放大因子高達51,000，這意味著對於攻擊者發送的每個位元組，最多可向目標發送51KB的數據，因此在該文章中描述的通過配置錯誤配置的漏洞有點獨特。

在過去的一年中，我們已經為我們的設施部署了額外的過境。 在此期間，我們的流量能力增加了一倍以上，這使我們能夠承受一定的流量攻擊，而不會對用戶造成影響。 我們正在繼續部署額外的運輸能力，並在各種交易所之間開發強大的對等關係。即使如此，這樣的攻擊有時需要擁有較大交通網路的合作夥伴的幫助才能提供攔截和過濾。

事件

2月28日17:21至17:30 UTC之間，我們發現並減輕了大量的DDoS攻擊。 這次攻擊來自成千上萬個獨特端點上千多個不同的自治系統（ASN）。 這是一種使用上述基於memcached的方法的放大攻擊，通過每秒1.269億個數據包以1.35Tbps的速度達到峰值。

在17:21 UTC，我們的網路監控系統檢測到入口與出口流量的比例異常，並通知我們的聊天系統中的隨叫隨到的工程師和其他人。 此圖顯示了傳輸鏈路上的入站與出站吞吐量：

考慮到我們的一家工廠的入站傳輸帶寬超過100Gbps，決定將流量轉移到Akamai，後者可以提供額外的邊緣網路容量。 在UTC時間17:26，我們通過ChatOps工具啟動該命令，以便通過運輸提供商撤銷BGP通告，並 僅通過我們與Akamai的鏈接 宣布 AS36459 。 在接下來的幾分鐘內路線重新聚合，並且訪問控制列表緩解了其邊界處的攻擊。 監控傳輸帶寬級別和負載平衡器響應代碼在UTC 17:30表示完全恢復。 在17:34 UTC的互聯網交換路線被撤銷，作為後續行動，將額外的40Gbps移出我們的邊緣。

攻擊的第一部分達到了1.35Tbps，並且在18:00 UTC之後還有一小部分是400Gbps的峰值。 Akamai提供的這張圖表顯示了以每秒比特數達到其邊緣的入站流量：

下一步

使GitHub的邊緣基礎設施更能適應當前和未來互聯網的條件，並且更少地依賴於人的參與，這需要更好的自動化干預。 我們正在研究如何使用我們的監控基礎設施來自動化啟用 DDoS緩解 提供商，並將繼續衡量我們對此類事件的響應時間，目標是縮短平均恢復時間（MTTR）。

我們將繼續擴展我們的邊緣網路，並努力在新的攻擊媒介影響您在http://GitHub.com上的工作流程之前識別並緩解新的攻擊媒介。

我們知道您依靠GitHub為您的項目和企業取得成功有多少。 我們將繼續分析影響我們可用性的這些事件和其他事件，建立更好的檢測系統並簡化響應。

本文原始鏈接：https://githubengineering.com/ddos-incident-report/

綠盟科技發布Memcached DRDoS攻擊預警

Memcached 是一個高性能的分散式內存對象緩存系統，用於動態Web應用以減輕資料庫負載。提高Web應用的響應速度，Memcached伺服器通過開放11211埠供客戶端進行訪問，然而，一方面由於Memcached 主要作為緩存中間件，缺乏訪問控制，另一方面也由於在編譯安裝時配置了不安全監聽IP（如0.0.0.0），若Memcached服務暴露於互聯網上且未設置iptables訪問控制，攻擊者則可輕易利用上述條件發起分散式拒絕服務放大攻擊。

根據 綠盟威脅情報中心NTI 數據顯示，全球有10萬多的Memcached伺服器在互聯網上開放，給予了攻擊者極大的便利，請相關企業重點關注近期的DDos攻擊事件，為保障您的業務安全穩定運行，也請關注綠盟科技最新通告信息，我們會對此事件持續關注，提供相關產品和服務解決方案。

防護建議

DRDoS是英文「Distributed Reflection Denial of Service 」的縮寫，中文意思是「分散式反射拒絕服務」。與DoS、DDoS不同，該方式靠的是發送大量帶有被害者IP地址的數據包給攻擊主機，然後攻擊主機對IP地址源做出大量回應，形成拒絕服務攻擊。

針對利用Memcached服務發起的DRDos攻擊，綠盟科技建議從如下兩個方面進行防護。

整體防護建議

針對不同網路節點，綠盟科技建議：

1. 針對發起反射攻擊的殭屍網路 ，由於觸發的源IP為反射攻擊的目標IP，在路由器段設置urpf策略，能夠過濾虛假源IP的報文，在發起端過濾觸發反射攻擊的報文；
2. 在memcached 伺服器前端 ，可通過深度檢測過濾異常報文，防止memcached伺服器成為反射器；；
3. 在客戶伺服器前端 ，在網路邊界處通過過濾UDP且源埠為11211的報文或者對UDP源埠進行限速的兩種方法，保護伺服器前端過濾反射攻擊的報文；

Memcached伺服器加固

為避免相關企業所運行的Memcached服務被攻擊者利用為反射端，建議對Memcached服務進行安全檢查和加固。若Memcached服務不需要監聽UDP，可在做好數據備份的前提下，對Memcached服務添加「-U 0」重啟禁用UDP（默認情況下，Memcached會偵聽INADDR_ANY，並默認啟用UDP）。詳情可參考Memcached官方說明文檔： https://github.com/memcached/memcached/wiki/ConfiguringServer#udp

防護Memcached DRDos攻擊

利用Memcached可以相對容易發起超大流量DDoS攻擊，防禦Memcached攻擊需要儲備足夠的帶寬。 企業用戶可在網路邊界出封禁 UDP 源埠為11211 的報文進行臨時防護。

如果遇到大流量反射攻擊，建議通過流量清洗設備（如ADS —綠盟抗拒絕服務系統）或者雲清洗服務的方式進行防護，可直接詢問：010-68438880-8669 。同樣，通過運營商進行封堵埠或者限速的方式也可以解決DRDos 攻擊

綠盟科技聲明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由於傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。

綠盟科技擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權聲明等全部內容。未經綠盟科技允許，不得任意修改或者增減此安全公告內容，不得以任何方式將其用於商業目的。

綠盟科技Memcached DRDoS攻擊預警通告

點擊圖片下載

本文由：githubengineering 發布，版權歸屬於原作者。

如果轉載，請註明出處及本文鏈接：

http://toutiao.secjia.com/github-memcrashed-ddos