GitHub 遭遇有史以來最嚴重DDoS攻擊

昨日（3 月 1 日）凌晨 1 點 15 分，知名代碼托管網站 GitHub 遭遇了有史以來最嚴重的 DDoS 網絡攻擊，峰值流量達到了前所未有的 1.35Tbps。消息一出，全世界的程序員立馬炸了鍋，知道我們這里有多少牛人么，連我們都敢黑？！ 

作為開源代碼庫以及版本控制系統，Github 擁有上百萬的開發者用戶，被坊間稱為程序員的“另類”社交網絡、 全球最大的黑客聚集地。

但即使社區牛人再多，它也未逃 DDoS 攻擊魔掌，據外媒 bleepingcomputer 透露，攻擊者是利用前不久公開的 Memcached 漏洞執行攻擊，能成倍的放大攻擊效果，被稱為 DRDoS 反射攻擊。

那么，與傳統的 DDoS 相比，何為 DRDoS 反射攻擊？Github 目前情況如何？如再有黑客利用 Memcached 漏洞進行攻擊，應該怎么防？

從小米加步槍到飛機加大炮

大家都知道，DDoS 攻擊的特點就是利用如潮水般的流量同時涌入網站，不過本次攻擊不同之處在于采用了更厲害的放大技術，目的是能對主機服務器產生更嚴重的影響。

其實，Memcache 本身是一套分布式的高速緩存系統，目前被許多網站使用以提升網站的訪問速度，尤其對于一些大型的、需要頻繁訪問數據庫的網站效果顯著。

其實早有安全團隊在去年年中就針對 Memcache 放大的攻擊技術發布了預警。

之所以被稱作放大的 DDoS 攻擊，是因為攻擊者利用 Memcached 協議，發送大量帶有被害者 IP 地址的 UDP 數據包給主機，然后放大，主機對偽造的 IP 地址源做回應，形成分布式拒絕服務攻擊，從而形成 DRDoS 反射。

對這次事件和相關技術進行了持續監控的 360 安全團隊 0Kee Team 李豐沛介紹，之所以 Memcached 被黑客盯上，有兩個原因。

一是因為當被用作反射點時，它的放大倍數超高，可超過 5 萬倍。對比其他常見 DDoS 的反射點，放大比率通常只有 10 到 100 倍之前。

比如，一個 203 字節的傳入 Memcached 請求會導致大約 100 兆字節的響應。

如果說之前傳統的 DDoS 攻擊是小米加步槍，這次針對 Memcache 的 DRDoS 攻擊則是飛機加大炮。

二是，Memcached 服務器往往是企業用來做數據服務的，所以服務器的資源好，有比較大的帶寬。如果單臺服務器能打出 1Gbps 攻擊帶寬的話，只要 1000 臺服務器就能打出 1Tbps 的攻擊帶寬了。而 11 月份統計的數據線網中受影響的設備可能有 6 萬臺。

其實，為了安全起見，Memcache 應該是不能暴露在互聯網中的。此類服務器沒有認證協議，連接到互聯網中意味著任何人都可以查詢它們。

在此前的研究報告中，360 的 0Kee 團隊預估 Memcached 服務器可能會被濫用以發起約 2Tbps 的 DDoS 攻擊，也就是說，這次針對 GitHub 的攻擊也許只用了六七成的功力。

目前 GitHub 情況如何？其他網站如何預防？

據雷鋒網了解，GitHub 在得到 Akamai 的幫助后，在不到 10 分鐘的時間內化解了這次危機。GitHub 也證實，網站上用戶數據的機密性和完整性沒有受到影響。

據了解，目前在外開放的 Memcache 存儲系統數量級在十萬左右，都可能會受到此類攻擊影響。而且預計會出現更多利用 Memcached 進行 DRDoS 的事件，如果本次攻擊效果被其他 DDoS 團隊所效仿，將會帶來后果更嚴重的攻擊。

李豐沛告訴雷鋒網，暴露在互聯網中歸根結底是用戶和他的供應商的選擇，之后建議大家就不要輕易暴露，即使暴露，也應該加上用戶口令認證或者網絡訪問限制等。

以下是他提出的相關建議。

對于 Memcache 使用者：

1. Memcache 的用戶建議將服務放置于可信域內，有外網時不要監聽 0.0.0.0，有特殊需求可以設置 acl 或者添加安全組。

2. 為預防機器掃描和 ssrf 等攻擊，修改 memcache 默認監聽端口。

3. 升級到最新版本的 memcache，并且使用 SASL 設置密碼來進行權限控制。

對于網絡層防御：

1. 多個 ISP 已經對 UDP11211 進行限速。

2. 打擊攻擊源：互聯網服務提供商應當禁止在網絡上執行 IP 欺騙。IP 欺騙 DRDoS 的根本原因。具體措施可以參考 BCP38。

3. ISP 應允許用戶使用 BGP flowspec 限制入站 UDP11211 的流量，以減輕大型 DRDoS 攻擊時的擁堵。

來源：雷鋒網