GitHub, tarihindeki en kötü DDoS saldırısına uğradı. Hackerlar büyük bir bilet mi oynamak istiyor?
Dün (1 Mart) sabah saat 13: 15'te, tanınmış kod barındırma web sitesi GitHub, tarihindeki en ciddi DDoS ağ saldırısına uğradı ve en yoğun trafik, benzeri görülmemiş bir 1,35 Tbps'ye ulaştı. Haber çıkar çıkmaz, dünyanın her yerindeki programcılar hemen tencereyi kızarttılar, siyah olmaya cesaret etsek bile, burada kaç harika insanımız olduğunu biliyor musunuz? !
Açık kaynak kod tabanı ve sürüm kontrol sistemi olan Github, milyonlarca geliştiriciye ve kullanıcıya sahiptir, programcılar için "alternatif" bir sosyal ağ ve dünyanın en büyük bilgisayar korsanları topluluğu olarak bilinir.
Ancak toplulukta çok sayıda yetenek olsa bile DDoS saldırılarının pençesinden kaçamamıştır.Yabancı medyada bip yapan bilgisayarlara göre saldırgan, saldırıyı gerçekleştirmek için yakın zamanda açıklanan Memcached zafiyetini kullandı, bu saldırı etkisini çoğaltabilir ve DRDoS yansıma saldırısı olarak adlandırılır.
Öyleyse, geleneksel DDoS ile karşılaştırıldığında, DRDoS yansıma saldırısı nedir? Github'da mevcut durum nedir? Bilgisayar korsanları saldırmak için Memcached güvenlik açıklarını kullanırsa, bunlar nasıl engellenmelidir?
Darı artı tüfeğinden uçak artı topa
Herkes bir DDoS saldırısının karakteristiğinin aynı anda web sitesine akmak için bir trafik seli kullanmak olduğunu bilir, ancak bu saldırının farkı daha güçlü bir büyütme teknolojisi kullanmasıdır, amacı ana sunucu üzerinde daha ciddi bir etkiye sahip olmaktır.
Aslında, Memcache, şu anda birçok web sitesi tarafından, özellikle sık veritabanı erişimi gerektiren büyük ölçekli web siteleri için web sitesi erişim hızını artırmak için kullanılan, dağıtılmış bir yüksek hızlı önbellek sistemidir.
Aslında güvenlik ekibi, geçen yılın ortasında Memcache güçlendirme saldırı teknolojisine karşı bir erken uyarı yayınladı.
Saldırgan, kurbanın IP adresiyle birlikte çok sayıda UDP veri paketini ana bilgisayara göndermek için Memcached protokolünü kullandığından ve daha sonra bunu güçlendirdiğinden, güçlendirilmiş DDoS saldırısı olarak adlandırılır. Ana bilgisayar sahte IP adresi kaynağına yanıt verir ve dağıtılmış bir ret oluşturur. Servis saldırısı, dolayısıyla DRDoS yansıması oluşturur.
Olayı ve ilgili teknolojileri sürekli olarak izleyen 360 güvenlik ekibi 0Kee Team Li Fengpei'ye göre, Memcached'in bilgisayar korsanları tarafından hedef alınmasının iki nedeni var.
Birincisi, bir yansıma noktası olarak kullanıldığında, büyütme oranının süper yüksek olması ve 50.000 katın üzerinde olmasıdır. Diğer yaygın DDoS yansıma noktalarıyla karşılaştırıldığında, büyütme oranı genellikle önceden yalnızca 10 ila 100 kattır.
Örneğin, 203 baytlık gelen Memcached isteği, yaklaşık 100 megabaytlık bir yanıtla sonuçlanacaktır.
Eskiden geleneksel DDoS saldırısı Xiaomi plus tüfeği idiyse, bu sefer Memcache'ye karşı DRDoS saldırısı uçak artı toptur.
İkincisi, Memcached sunucularının genellikle kuruluşlar tarafından veri hizmetleri için kullanılmasıdır, bu nedenle sunucunun iyi kaynakları ve nispeten büyük bant genişliği vardır. Tek bir sunucu 1Gbps saldırı bant genişliğine ulaşabilirse, yalnızca 1000 sunucu 1Tbps saldırı bant genişliğine ulaşabilir. Kasım ayında sayılan veri hattı ağı 60.000 cihazı etkilemiş olabilir.
Aslında, güvenlik nedenlerinden dolayı Memcache internete maruz bırakılmamalıdır. Bu tür sunucularda kimlik doğrulama protokolü yoktur ve İnternet'e bağlı olmak, herhangi birinin onları sorgulayabileceği anlamına gelir.
Önceki araştırma raporunda, 0Kee 360 ekibi Memcached sunucusunun yaklaşık 2Tbps'lik DDoS saldırıları başlatmak için kötüye kullanılabileceğini tahmin ediyordu.Yani GitHub'a yapılan bu saldırı, gücün yalnızca% 60 ila 70'ini kullanabilir.
GitHub ile mevcut durum nedir? Diğer web siteleri nasıl engellenir?
Leifeng.com'a göre GitHub, Akamai'den yardım aldıktan sonra krizi 10 dakikadan daha kısa sürede çözdü. GitHub, web sitesindeki kullanıcı verilerinin gizliliğinin ve bütünlüğünün etkilenmediğini de doğruladı.
Programcının kardeşleri saçlarını kaybetmemiş ve kod hala orada.
Leifeng.com, şu anda dış dünyaya açık olan Memcache depolama sisteminin 100.000 mertebesinde olduğunu ve bu tür saldırılardan etkilenebileceğini öğrendi. Üstelik Memcached'i DRDoS için kullanma olaylarının daha fazla olması beklenmektedir.Bu saldırının etkisi diğer DDoS ekipleri tarafından taklit edilirse daha ciddi ataklar meydana getirecektir.
Li Fengpei, Leifeng.com'a İnternet'e maruz kalmanın nihai olarak kullanıcının ve tedarikçisinin seçimi olduğunu söyledi. Bundan sonra, herkesin bunu hafife almaması tavsiye edilir. Açıkta olsa bile, kullanıcı şifresi doğrulaması veya ağ erişim kısıtlamaları eklenmelidir.
Aşağıdakiler ilgili önerileridir.
Memcache kullanıcıları için,
1. Memcache kullanıcıları, hizmetin güvenilir bir etki alanına yerleştirilmesini ve harici bir ağ olduğunda 0.0.0.0'ı izlememelerini önerir.Özel ihtiyaçlarınız varsa acl ayarlayabilir veya bir güvenlik grubu ekleyebilirsiniz.
2. Makine taraması ve ssrf gibi saldırıları önlemek için, memcache'nin varsayılan dinleme bağlantı noktasını değiştirin.
3. Memcache'nin en son sürümüne yükseltin ve izin kontrolü için bir parola belirlemek üzere SASL'yi kullanın.
Ağ katmanı savunması için,
1. Birden çok ISP, UDP11211 oranını kısıtlamıştır.
2. Saldırı kaynaklarına karşı savaşın: İnternet servis sağlayıcıları ağ üzerinde IP sahtekarlığını yasaklamalıdır. IP sahtekarlığı DRDoS'un temel nedeni. Belirli önlemler BCP38'e atıfta bulunabilir.
3. ISP, kullanıcıların büyük ölçekli DRDoS saldırıları sırasında tıkanıklığı azaltmak için gelen UDP11211 trafiğini kısıtlamak için BGP akış belirtimini kullanmalarına izin vermelidir.
Daha fazla okuma: GitHub, 2015'te DDoS saldırılarıyla da karşılaştıSöylemek gerekirse, bu GitHub'ın bilgisayar korsanları tarafından ilk kez hedef alınışı değil.
26 Mart 2015 gibi erken bir tarihte, o zaman "tarihteki en büyük DDoS saldırısı" olarak adlandırılan olay ile karşılaştı ve neredeyse iki hafta olan 7 Nisan'a kadar sürdü.
GitHub, saldırganların amacının Github'u sansür karşıtı proje Greatfire'ı kaldırmaya zorlamak olduğuna dikkat çekti.
Resmi GitHub blog yazısı, saldırganın amacının Github'u belirli içeriğe sahip sayfaları silmeye zorlamak olduğuna işaret etti. Üçüncü taraf bir araştırmaya göre, bu saldırıda HTTP kaçırma kullanıldı ve şifreli bağlantılar etkilenmedi. Saldırganın cihazı, uluslararası İnternet ile yerel İnternet arasındaki sınırda yer alır ve Baidunun js dosyasını kötü amaçlı kodla değiştirir. Kötü amaçlı kodu yükledikten sonra, kullanıcının tarayıcısı her 2 saniyede bir https: // alan adına erişir. github.com/greatfire/ ve https://github.com/cn-nytimes/.
Saldırganların GitHub'a saldırmak için dört DDoS tekniği kullandığı bildirildi:
İlk dalga, Baidu JS dosyalarının yaratıcı bir şekilde ele geçirilmesi ve denizaşırı Çinli kullanıcıların tarayıcılarının GitHub'da her 2 saniyede bir barındırılan iki anti-sansür projesine istek göndermek için kullanılmasıydı. Bu yöntem, GitHub tarafından pop-up JS uyarı uyarısıyla engellendi;
İkinci tur alanlar arasıdır
Saldırı, GitHub'ın Referer'ı kontrol etmesi tarafından engellendi;
Üçüncü dalga, GitHub Sayfalarında yapılan DDoS saldırılarıdır;
Dördüncü dalga, çok sayıda sahte TCP bağlantı isteği göndermek için TCP protokol kusurlarını kullanan ve GitHub'ın kaynaklarının tükenmesine neden olan devam eden TCP SYN flood saldırısıdır.
Son olarak, Githubın önlemi, orijinal web sayfasının içeriğini uyarı ile değiştirmektir ("UYARI: bu alanda kötü amaçlı javascript algılandı").
Kaynak: bleepingcomputer, 360 Memcrashed uyarı duyurusu
