Tarihin En Büyük DDoS Saldırısı (1.35 TB) Github Web Sitesini Vurdu

28 Şubat 2018 Çarşamba günü, GitHub’un kod barındırma web sitesi, 1.35 Tbps’ye ulaşan tarihin en büyük dağıtılmış hizmet reddi (DDoS) saldırısı ile karşılaştı.

İlginçtir ki, saldırganlar herhangi bir botnet ağı kullanmadılar, bunun yerine DDoS saldırısını güçlendirmek için yanlış yapılandırılmış Memcached sunucularını silahlandırdılar.

Daha bu hafta başlarında, saldırganların Memcached’i, popüler açık kaynaklı ve kolayca dağıtılabilen dağıtılmış önbellek sistemi, kullanarak nasıl 51.000 kat fazla güçlü DDoS saldırısı başlatılacağı ve istismar edebileceği ile ayrıntılı bir rapor okumuştum.

Memcrashed olarak adlandırılan DDoS saldırısı, kurbanın IP’siyle eşleşen sahte bir IP adresi kullanarak 11211 Port’tan hedeflenen Memcrashed sunucusuna sahte bir istek gönderilmesi mantığındaki bir saldırı biçimi.

Güvenlik açığı bulunan sunuculara gönderilen birkaç bayt boyutundaki paketler, hedeflenen IP adresine karşı onbinlerce kat daha büyük geri dönüş paketlerini tetikler.

Github’un saldırıdan kurtulmasına yardımcı olan bir bulut bilişim şirketi Akamai “Bu saldırı Akamai tarafından bugüne kadar görülen en büyük saldırıydı. Eylül 2016 Mirai botnet saldırılarının boyutunun iki katından fazla ve  büyük olasılıkla en büyük DDoS saldırısı.” diye açıklamada bulundu.

Github mühendislik blogunda yayınlanan bir yazıya göre, “Saldırı on binlerce benzersiz son nokta arasında binlerce farklı özerk sistemden (ASN) kaynaklandı. Saniyede 126.9 milyon paketle 1.35Tbps’ye yükselen memcached tabanlı yaklaşımı kullanan bir amplifikasyon saldırısıydı. “

Daha Büyük DDoS Saldırıları Bekleyin

Amplification (Yükseltme) saldırıları yeni değilse de, bu saldırı vektörü binlerce yanlış yapılandırılmış Memcached sunucularının üzerinde geliştiriliyor ve bu sunucuların çoğu hala Internet’te bulunuyor. Diğer hedeflere karşı potansiyel olarak daha büyük saldırılar başlatmak için kullanılabilir.

Memcached sunucuların reflektörler olarak istismar edilmesini önlemek için sistem yöneticileri, kaynak portu UDP 11211’yi engelleme veya hız sınırlamayı düşünmeli veya kullanımda değilse UDP desteğini tamamen devre dışı bırakmalıdırlar.