El 28 de Febrero,
GitHub recibió el mayor ataque de denegación de servicio hasta la fecha y logró
resolverlo en 8 minutos.
Es increible pero
cierto, a pesar de nadie darse cuenta, GitHub fue atacada el pasado Miércoles.
Sorprendentemente, la plataforma fue capaz de mitigarlo en minutos sin que los
usuarios tuvieran afectación alguna.
El pico de tráfico de
este ataque llegó a los 1,35Tbps enviados a través de 126,9 millones de
paquetes por segundo.
A diferencia del
resto de ataques DDoS que solemos ver, este no utilizó ninguna botnet para
realizarse, sino que hizo uso de los servidores memcached para aumentar la
fuerza del ataque original.
Los servidores
memcached son utilizados para el almacenamiento en caché de datos u objetos en
la memoria RAM, reduciendo así la necesidad de acceso a un origen de datos
externo, y con ello aumentando la velocidad de trabajo usual.
Estos servidores no
están preparados para estar expuestos en línea. Según la empresa WIRED, hay
alrededor de 100.000 servidores memcached accesibles en internet los cuáles no
requieren de autenticación. Cualquier atacante puede acceder a ellos, enviar un
paquete y el servidor responderá con una respuesta mucho mayor.
Una de las maneras
más sencillas de mitigar el abuso de estos servidores es mediante firewall,
limitando la velocidad de los paquetes UDP de salida.
La empresa encargada
de mitigar el ataque a GitHub fue Akamai Prolexic. Prolexic se hizo cargo como
intermediario enrutando todo el tráfico que entraba y salía de GitHub, y
enviaba los datos a través de sus centros de depuración para eliminar y
bloquear los paquetes maliciosos. A los 8 minutos los atacantes cedieron y pararon
el DDoS.
A pesar de no haber
habido un gran destrozo, este ataque muestra los peligros que implican los
servidores memcached expuestos. Esperemos que los dueños de este tipo de
servidores tomen conciencia y apliquen las medidas necesarias para que no
vuelva a ocurrir.
Más información:
- Reporte de WIRED: https://www.wired.com/story/github-ddos-memcached/
- Soluciones DDoS de Akamai Prolexic: https://www.akamai.com/es/es/products/cloud-security/prolexic-solutions.jsp
Fuente: Hispasec