Rekordverdächtiger DDoS-Angriff auf Github

Wie Github letzte Woche berichtete, gab es einen rekordverdächtigen DDoS-Angriff auf die Infrastruktur des Unternehmens. Die Angreifer machten sich über das Netz ansprechbare Memcached-Server dienstbar.

Github selbst war laut einem Blogpost nur für rund neun Minuten schlecht oder nicht erreichbar. Die Angreifer nutzten dabei eine Fehlkonfiguration des Caching-Servers Memcached, die per UDP und auf Port 11211 über das Internet erreichbar waren. Die Angreifer sendeten dabei eine Anfrage mit gefälschten IP-Adressen an die Memcached-Server, die ihre ungleich größeren Antworten an die gefälschten IP-Adressen schickten. Diese waren in diesem Fall identisch mit den von Github.com verwendeten IP-Adressen.

Diese Art von Angriffen heißen Amplification Attacks, denn auf eine kurze Anfragen senden die Server lange Antworten. Das besondere an dem jüngsten Angriff: Die Memcached-Server verstärkten die Anfragen um das 51 000-fache: Schickten die Angreifer also eine Anfrage mit einem Byte, antworteten die Memcached-Server mit einer 51-KByte-Antwort an die gefälschten IP-Adressen. Beim Angriff halfen laut Githubs Bericht zehntausende Instanzen aus tausenden Netzwerken. Die Netzwerkadmins der Firma maßen eine Rekordbandbreite des Angriffs von 1,35 Tbps mit 126,9 Million Paketen pro Sekunde.

Hilfreiche Umleitung

Als Techniker die Anomalie zwischen eingehendem und ausgehendem Netzwerktraffic (Ingress und Egress) entdeckten und der eingehende Datenverkehr in einem Rechenzentrum die Grenze von 100 Gbps überschritt, holten sich die Admins das Content-Delivery-Netzwerk Akamai zu Hilfe. Sie änderten die BGP-Ankündigungen (Border Gateway Protocol), um den Traffic auf die eigenen Server über Akamais Netzwerk zu leiten. Die Routen änderten sich daraufhin, zugleich schwächten ACLs (Access Control Lists) an den Grenzen des Netzwerks die Angriffe ab. Nach etwa 9 Minuten war der Spuk schon vorbei.

Github will nach dem Vorfall die eigene Infrastruktur weiter automatisieren. Externe Anbieter sollen bei erneuten DDoS-Angriffen in die Bresche springen, das Unternehmen möchte so die Mean Time to Recovery (MTTR) senken. Zugleich gerieten die Memcached-Admins in die Kritik, deren Server über das Internet erreichbar waren: “Das Memcache-Protokoll war nie dafür gedacht, über das Internet erreichbar zu sein.” schrieb etwa Akamai in einem Blogpost zum Angriff. Oder anders formuliert: Die Memcached-Server arbeiteten wie gewünscht, aber viele Memcached-Betreiber müssen ihre Instanzen anders konfigurieren.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben