GitHub 幸免于创纪录的 1.35Tbps DDoS 攻击——史上最大规模

2018 年 2 月 28 日，最受欢迎的版本控制代码共享和托管服务 GitHub 面临有史以来最大规模的 DDoS（分布式拒绝服务）攻击。这导致网站瘫痪了大约 10 分钟（世界标准时间 17:21 到 17:30）。

这次攻击的规模是 2016 年 9 月 20 日发生的 Mirai 僵尸网络 DDoS 攻击的两倍多。但是，由于 memcached 反射功能，它很可能不会在很长一段时间内成为最大的攻击。

为了更好地解释实际发生的情况，我们描述了一些基本术语。

DDoS 攻击- 它试图通过来自多个来源的大量无效流量来压垮在线服务，从而使在线服务变得不可用。具体来说，攻击者试图使系统超载并阻止合法请求得到满足。由于无效请求来自多个来源，仅通过阻止单个来源无法阻止攻击。

通常，攻击者会针对各种关键服务和资源，例如新闻网站和支付网关。激进主义、勒索和报复可能会激发这些攻击。

内存缓存 – 它是一个免费、开源、高性能、分布式内存对象缓存系统，通常用于通过在 RAM 中缓存数据和对象来加速动态 Web 应用程序。这样做是为了减少必须读取外部数据源的次数。

它是内存中的键值存储，用于存储 API 调用、数据库调用或页面渲染结果中的小块任意数据（例如对象、字符串）。

此攻击滥用在用户数据报协议 (UDP) 上运行的公共互联网上无意访问的 memcached 实例。 memcached 的响应可以通过 IP 地址欺骗针对另一个地址（例如用于服务 GitHub 的地址）。与真实来源相比，这会向目标发送大量数据。

这次攻击非常独特（更糟糕）——它的放大系数超过 51,000，这意味着攻击者发送的每个字节最多会向目标发送 51 KB。网络提供商通过过滤来自 UDP 端口 11211（memcached 使用的默认端口）的所有流量来缓解攻击。

这次攻击来自跨越数万个不同端点的一千多个自治系统。该放大攻击使用基于 memcached 的技术，通过每秒 1.269 亿个数据包达到每秒 1.35 太比特。

进出流量比例异常

来源：GitHub 工程

Github 报告称入站传输带宽快速增长（峰值达到每秒 100 GB），他们将流量转移到 CDN 提供商 Akamai，后者提供了额外的边缘网络容量。完全恢复后四分钟，他们撤回了到互联网交换中心的路由，以将每秒 40 GB 的速度从其边缘转移出去。

这一切都发生在两个主要阶段 - 攻击的第一部分峰值达到每秒 1.35 太比特 (Tbps)。第二部分发生在世界标准时间 18:00，峰值达到每秒 400 吉比特。

在过去的几年里，GitHub 的传输能力增加了一倍以上，这使得他们能够抵御此类攻击。他们不断在各种交易所中建立牢固的对等关系。

除了 GitHub 之外，还有一些组织经历了类似的攻击，根据提供商 Akamai 的说法，不久的将来还会有更多更大规模的攻击。自最初披露以来，他们发现扫描开放 Memcached 服务器的次数大幅增加。

阅读：关于 GitHub 的 20 个有趣的事实和统计数据

好消息是，网络分发者可以对来自 UDP 端口 11211 的流量进行限制，并阻止无效流量进出网络，但大规模实施还需要一些时间。

工业技术