O GitHub é o repositório de códigos favorito da internet e sofreu um ataque DDoS recorde de 1,35 terabit por segundo na última quarta-feira (28). Este é o ataque de negação de serviço mais poderoso já registrado. Ainda assim, o site cambaleou apenas por alguns minutos e saiu numa boa.

• Uma rede de dispositivos “inteligentes” fez um dos maiores ataques à estrutura da internet
• O problema dos mega-ataques DDoS que estão mirando na infraestrutura da internet

O atacante, provavelmente percebendo que seus esforços foram em vão, interrompeu a iniciativa depois de menos de uma hora. O GitHub conseguiu suportar o ataque graças ao serviço Akamai, que trabalha para atenuar esse tipo de ataque.

Imagem: GitHub

“Entre 20h21 e 20h30 [no horário de Brasília] do dia 28 de fevereiro, identificamos e atenuamos um ataque DDoS significativamente volumétrico”, escreveu o GitHub em uma espécie de autópsia do evento. “O ataque foi originado a partir de mais de mil sistemas autônomos (ASNs) diferentes ao redor de dezenas de milhares de endpoints únicos”.

Segundo o GitHub, a pessoa (ou pessoas) responsável empregou um ataque de amplificação, onde um atacante imita o endereço de IP do seu alvo e envia requisições (UDP) repetidas de bytes para servidores memcached – um sistema distribuído de cache, utilizado para melhorar a performance da base de dados, que geralmente retornam com uma quantidade de dados desproporcional.

Como o atacante imitou o IP do GitHub, as respostas das requisições fizeram com que o site precisasse responder a mais de um terabyte por segundo.

Ilustração: Cloudflare

Tod Beardsley, diretor de pesquisa da Rapid7, disse que o ataque foi um “prenúncio do novo mundo dos DDoS”.

“A menos e até que esses servidores memcached vulneráveis sejam retirados da internet, eles continuarão sendo um meio irresistível de atração para enviar pacotes enormes para qualquer alvo que alguém possa escolher, isso sem nenhuma infraestrutura de botnets necessária”, disse Beardsley.

A boa notícia é que você consegue atenuar ataques de amplificação baseados no memcache ao configurar um limite de taxa de requisições na porta 11211, de acordo com a Akamai.

“Pelo fato de conseguir criar ataques tão massivos, é provável que os atacantes adotem esse método e que ele se torne uma ferramenta favorita rapidamente”, escreveu a companhia em uma publicação em seu blog. “Além disso, à medida que as listas utilizáveis são compiladas por atacantes, o impacto desse método de ataque tem o potencial para crescer significativamente”.

É melhor todos se prepararem.

Imagem do topo: Github