Github utsatt för rekordstor DDoS-attack

Permalänk
Melding Plague

Github utsatt för rekordstor DDoS-attack

Under onsdagen drabbades Github av en storskalig DDoS-attack med en uppmätt bandbredd om 1,35 Tbit/s, och blir därmed den största som någonsin skådats.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Medlem

DNS och NTP kan slänga sig i väggen. En förstärkningsfaktor på 51k är inte att leka med.

Visa signatur

Spela Swemantle! Du vet att du vill.

Ibland har jag fel, men då är det någon annans fel.

Permalänk
Medlem

Rent spontant känns det som en övningsattack, cyberkrigen kryper närmare o närmare...

Permalänk
Skrivet av Mindboggle:

Rent spontant känns det som en övningsattack, cyberkrigen kryper närmare o närmare...

Jupp, smarta prylar med dålig säkerhet kommer stå för en stor del av attackerna i framtiden. Finns hur många såna som helst som pumpas ut från kina. Varför hacka en dator när det räcker med att hacka en smart lampa typ.

Permalänk
Medlem

ISPer borde i större utsträckning implementera den enkla funktionen uRPF i sina edge-routrar.

Permalänk
Inaktiv

Varför, men varför ?

Jag förstår mig på iden att DDosa saker som man inte gillar, men varför ge sig på Github av alla tänkbara möjliga måltavlor? Vad kan Github ha gjort för att göra någon så upprörd? Youtube, facebook etc förstår jag, men Gihub?

Permalänk

Konstigt val av mål men å andra sidan så har väl hackers sällan brytt sig om mer utvecklade motiv än "för att jag kan".

Permalänk
Medlem
Skrivet av anon159643:

Varför, men varför ?

Jag förstår mig på iden att DDosa saker som man inte gillar, men varför ge sig på Github av alla tänkbara möjliga måltavlor? Vad kan Github ha gjort för att göra någon så upprörd? Youtube, facebook etc förstår jag, men Gihub?

Tror faktiskt inte det har något med hat mot Github att göra, utan mest för att växa sin e-penis och kunna säga "Vi lyckades sänka Github i X antal timmar, vad har ni gjort nyligen?". Github känns som en "lagom" stor tjänst för en sån attack, nästa steg i den storleksordningen borde rimligtvis vara Facebook eller Google.

Nu vet vi dock att det (antagligen) inte riktigt gick som de hade tänkt sig.

Visa signatur

Windows: [ NCASE M1 | i7 6700K 4C/8T | 16GB DDR4 | 1080Ti | 1.5TB SSD ]
macOS: [ Mac mini | i5 8500B 6C/6T | 16GB DDR4 | 256GB SSD ],
                        [ MBP 13" | i5 1038NG7 4C/8T | 16GB LPDDR4X | 512GB SSD ]
ESXi: [ Intel NUC | i7 10710U 6C/12T | 32GB DDR4 | 500GB SSD ]

Permalänk
Avstängd
Skrivet av anon159643:

Varför, men varför ?

Jag förstår mig på iden att DDosa saker som man inte gillar, men varför ge sig på Github av alla tänkbara möjliga måltavlor? Vad kan Github ha gjort för att göra någon så upprörd? Youtube, facebook etc förstår jag, men Gihub?

Som tidigare nämnt, troligen "övning". Möjligen kommer de riktiga attackerna att vara mot viktiga infrastrukturer så det blir någon effekt av det hela.

Annars känns det ju som när man själv "net send":a sönder polarnas cs 1.5 servrar på gamla goda tiden för att man inte fick plats i gatheringen eller pcwn, eller var det bara jag som gjorde det? XD

Visa signatur

"Företagsboendeförmedlare" | Min Überkill Dator: Processor: Intel Pentium P5 66 Mhz OC | Moderkort: ASRock P4I65G | Minnen: 2st Samsung 128MB PC133 | Grafikkort: Canopus GeForce 256 DDR | Lagring: IBM 350 4,4 MB | Operativsystem: DOS/360 | Chassi: Mercury Full-Tower ATX Chassis |

Permalänk
Hedersmedlem
Skrivet av Mindboggle:

Rent spontant känns det som en övningsattack, cyberkrigen kryper närmare o närmare...

Skrivet av AplAy:

Som tidigare nämnt, troligen "övning". Möjligen kommer de riktiga attackerna att vara mot viktiga infrastrukturer så det blir någon effekt av det hela.

I så fall är det en mindre aktör, dvs. inte någon av de större statskontrollerade organen, utan antingen en mindre stat eller fristående aktör.

Så uppfattar jag åtminstone det som läcker ut angående den kapacitet som finns kontra nivån på säkerhet, vilket antyder att de stora staterna egentligen kan slå ut varandra, men att man respekterar vissa gränser i likhet med idéen om kärnvapnens avskräckande effekt.

Permalänk
Skrivet av anon159643:

Varför, men varför ?

Jag förstår mig på iden att DDosa saker som man inte gillar, men varför ge sig på Github av alla tänkbara möjliga måltavlor? Vad kan Github ha gjort för att göra någon så upprörd? Youtube, facebook etc förstår jag, men Gihub?

Byt plats på Github och Facebook och ställ frågan igen. Kanske någon tycker den frågan är lika rimlig som den du ställde. Detta handlar knappats om rimligheten eller som någon skrev om e-penis. Mer troligt ett väl utvalt mål för en testattack för att prova responstid och effekt. Se det som ett test i krigföring som sedan länge har lämnat det idealistiska pojkrummet där någon hacker försöker leva ut sina frustrationer.
Hackning av denna typ är idag något som sköts av professionella, kriminella och legosoldater som jobbar för kriminella nätverk och stater.

Permalänk
Skrivet av AplAy:

Som tidigare nämnt, troligen "övning". Möjligen kommer de riktiga attackerna att vara mot viktiga infrastrukturer så det blir någon effekt av det hela.

Annars känns det ju som när man själv "net send":a sönder polarnas cs 1.5 servrar på gamla goda tiden för att man inte fick plats i gatheringen eller pcwn, eller var det bara jag som gjorde det? XD

Det var nog bara du

Håller mod om att det troligen bara var ett övningsskott, men tror inte att denna metod kan ha större konsekvenser för attacker mot infrastrukturer.
Om jag har fattat tekniken rätt (är verkligen ingen expert på detta) så bygger detta på caching av befintlig data,
och detta känns inte som någonting man skulle kunna tänkas ha i infrastrukturskritiska system. Visst, samhällsinformation från websidor och liknande kan ju bli drabbade, och även det som ligger på samma server/nätverk, men i övrigt blir nog en attack rätt begränsad.

Visa signatur

/ SvSm
- Datorer ska synas men inte höras.
AMD Barton 2600+, 1024 DDRAM 400 @ 333, ASUS A7V880, Radeon 9800 Pro, Eizo FlexScan L557.

Permalänk
Inaktiv
Skrivet av maddogmoffit:

Byt plats på Github och Facebook och ställ frågan igen. Kanske någon tycker den frågan är lika rimlig som den du ställde. Detta handlar knappats om rimligheten eller som någon skrev om e-penis. Mer troligt ett väl utvalt mål för en testattack för att prova responstid och effekt. Se det som ett test i krigföring som sedan länge har lämnat det idealistiska pojkrummet där någon hacker försöker leva ut sina frustrationer.
Hackning av denna typ är idag något som sköts av professionella, kriminella och legosoldater som jobbar för kriminella nätverk och stater.

Jag håller med er som säger att det kunde vara en testattack, men samtidigt var väl inte denna gratis att utföra? De har väl röjt en hel del memcached-servrar som de kunde ha använt till annat.

Jag gisslar på att det kan vara en slags tävling, vissa som här i forumet tävlar om vem som kan klocka sin cpu mest, andra tävlar i att kunna göra den största DDos attacken..

Permalänk
Medlem
Skrivet av anon159643:

Jag håller med er som säger att det kunde vara en testattack, men samtidigt var väl inte denna gratis att utföra? De har väl röjt en hel del memcached-servrar som de kunde ha använt till annat.

Jag gisslar på att det kan vara en slags tävling, vissa som här i forumet tävlar om vem som kan klocka sin cpu mest, andra tävlar i att kunna göra den största DDos attacken..

En annan möjlighet är att man valt att genomföra attacken för att ge attackvektorn uppmärksamhet i media och få folk att fixa sina memcached-servrar.

Visa signatur

Spela Swemantle! Du vet att du vill.

Ibland har jag fel, men då är det någon annans fel.

Permalänk
Avstängd

Så öppna memcached är nya smurf.
På 90-talet finns det den så kallade smurfattacken där man skickade ett ICMP paket till broadcastaddressen och fick tillbaka 255 paket per spoofat paket skickat.

Permalänk
Medlem
Skrivet av LemonIllusion:

En annan möjlighet är att man valt att genomföra attacken för att ge attackvektorn uppmärksamhet i media och få folk att fixa sina memcached-servrar.

Tycker också detta känns som ett tänkbart motiv. De har valt ut en måltavla som bör kunna sin skit och därmed ska kunna lösa det hyfsat snabbt, men som inte kan stå emot det från första sekund. De har också valt en måltavla som ger rubriker inom IT-branchen, men som inte drabbar medelsvensson nämnvärt.

Det vi kan hoppas på är att dessa servrar börjar fixas raskt så att det inte blir ett större problem av det längre fram.

Visa signatur

Desktop: | Win10 | InWin 303 | ASUS TUF X570 | AMD Ryzen 5 3600 | Noctua NH-U12S (PP) | Intel 600p 256GB | Gigabyte GTX 670 | 32GB DDR4 2400Mhz | Corsair RM650x | 3x 1080 Screens |
Datacenter: | 1x Physical | 1x Virtual |
Laptop: | 2x |

Dell Certified Technician

Permalänk
Medlem
Skrivet av anon159643:

Varför, men varför ?

Jag förstår mig på iden att DDosa saker som man inte gillar, men varför ge sig på Github av alla tänkbara möjliga måltavlor? Vad kan Github ha gjort för att göra någon så upprörd? Youtube, facebook etc förstår jag, men Gihub?

I det här fallet handlar det nog inte om att dom som utförde attacken gillade Github eller inte. Github var bara ett bra testobjekt.

Permalänk

Holy crap!

Visa signatur

Motherboard: ASUS ROG Crosshair VIII Hero X570 | Processor: AMD Ryzen 5900X | Graphic: MSI GeForce RTX 4090 24GB GAMING TRIO | Memory: G.Skill 64GB DDR4 3600MHz CL16 Trident Z Neo | PSU: ASUS ROG Thor 1200W

Permalänk
Medlem

Det hade passat i dessa tider att publicera en artikel på sweclockers hur man kan säkra sina smarta enheter i sitt nätverk.

Skickades från m.sweclockers.com

Visa signatur

Citera för svar!

Permalänk
Medlem

"Säkerhetsföretaget Akamai"? Nja. Visst, de har lite säkerhetslösningar som ddos-skydd och WAF och sånt, men de är väl mer kända som CDN?

Skickades från m.sweclockers.com

Visa signatur

Core i7 7700K | Titan X (Pascal) | MSI 270I Gaming Pro Carbon | 32 GiB Corsair Vengeance LPX @3000MHz | Samsung 960 EVO 1TB

Permalänk
Medlem

Var det inte några år sedan det var någon ddos attack som använde routrar eller något för at ta ner github? kan minnas fel.

Visa signatur

"Oh glorious cheeseburger… we bow to thee. The secrets of the universe are between the buns..."
"All my farts come straight from hell, you're already dead if you notice a smell"

Permalänk
Medlem
Skrivet av Svartsmurfen:

Om jag har fattat tekniken rätt (är verkligen ingen expert på detta) så bygger detta på caching av befintlig data,
och detta känns inte som någonting man skulle kunna tänkas ha i infrastrukturskritiska system. Visst, samhällsinformation från websidor och liknande kan ju bli drabbade, och även det som ligger på samma server/nätverk, men i övrigt blir nog en attack rätt begränsad.

Nja, man använder cachen för att begära data, och sen spoofar avsändaren för att skicka data till fel ställe.
Så här skulle det fungera, i en inte helt ovanlig tillämpning:

+----------------+Ge mig senaste nytt! Jag är www.example.net (100 B)+------------------+ | Webserver |+------------------------------------------------->| memcached | |www.example.net |<-------------------------------------------------+|cache.example.net | +----------------+ Här är senaste nytt! (5.1 KB) +------------------+

Och så här har det blivit:

+-------------+ +------------------+ |Attackerare | Ge mig senaste nytt! Jag är www.github.com (100 B) | memcached | |evil.net | +-------------------------------------------------> |cache.example.net | +-------------+ +--------+---------+ | | | | | +----------------+ | | Target |<--------------------------------------------------------------+ | www.github.com | Här är senaste nytt! (51 KB) +----------------+

UDP är väldigt lätt att spoofa, dvs, säga att jag är någon jag inte är.
Om då det finns många servrar som kan användas är det väldigt lätt att få upp större datatrafik. Så det har inget att göra med att målet har en felaktigt konfad cacheserver, utan att det finns många andra som har sin memcached-instans helt öppen. Med tanke på att förstärkningsfaktorn är 51 000 (!) så kan en attackerare med 100 Mbit/s orsaka hiskelig mängd datatrafik - under förutsättning att det finns tillräckligt många memcachedinstanser att utnyttja.

Visa signatur

Jag är en optimist; det är aldrig så dåligt så att det inte kan bli sämre.

Permalänk
Medlem

Lite komiskt hur en DDoS-attack pratas om nuförtiden; likt Richter-skalan eller vindblåst som nådde sin kulmen... jaja på något sätt måste man ju prata om det antar jag

Skickades från m.sweclockers.com

Visa signatur

If nobody hates you, you’re doing something wrong.

Permalänk
Medlem
Skrivet av Elakekocken:

Lite komiskt hur en DDoS-attack pratas om nuförtiden; likt Richter-skalan eller vindblåst som nådde sin kulmen... jaja på något sätt måste man ju prata om det antar jag

Skickades från m.sweclockers.com

Alla vet vi att fildelare är de farligaste på Internet ändå...

@zyberzero Bra förklaring du gjort. Tror jag förstår lite bättre hur de gjort nu.
Finns det något sätt att kunna verifiera avsändaren, eller ignorera requests om de inte är godkända avsändare?

Permalänk
Medlem

@Paddanx: Det finns många sätt - ett sätt är att köra TCP istället för UDP. Själva anslutningsförfarandet med TCP innebär en handskakning, som innebär att samtliga inblandande datorers adresser är verifierad.

Annars går det att brandvägga ner applikationen - hur stor är sannolikheten att Github skulle fråga min memcached-instans om data? Det lär ju bara vara maskiner jag känner till som frågar? Man kan också se till att maskinen inte är publikt nåbar från första början, och köra allt sånt på ett internt nätverk helt och hållet.

Det går också att sätta upp autentisering i just memcached, så att man måste ha ett användarnamn och lösenord (eller någon annat sätt att komma överens om vem man är).

Många sätt finns det, och detta är inte på något vis en komplett lista

Visa signatur

Jag är en optimist; det är aldrig så dåligt så att det inte kan bli sämre.