גיטהאב ספגה את מתקפת ה-DDoS הגדולה בכל הזמנים ושרדה כדי לספר לנו את זה

למרות היקף המתקפה, ההשלכות שלה הסתכמו בפחות מ-10 דקות שהאתר לא היה זמין

pixabay

מקור: Pixabay

ביום רביעי האחרון, ה-28 בפברואר, GitHub, שירות אחסון וניהול קוד הגדול בעולם נפל קורבן למתקפת ה-DDoS הגדולה והמשמעותית ביותר בהיסטוריה. אלא שגם נפח תעבורה מקסימלי של 1.35Tbps – כן, 1.35 טרה ביטים שעברו במהלך המתקפה במשך שניה באתר, הסתכמו בהורדה שלו מהאוויר למשך פחות מ-10 דקות – ברוטו. אז מה בדיוק קרה שם ואיך האתר התאושש בכזו קלות וללא כל פגע?

מתקפת ענק, השלכות מינוריות

בין השעה 17:21 ל- 17:30 UTC ביום רביעי, GitHub זיהתה מתקפת DDoS בנפח משמעותי על השירות שלה שהגיעה מיותר מאלף מערכות אוטונומיות (ASNs) ומעשרות אלפי נקודות קצה ייחודיות. בדקה הראשונה למתקפה, מערכת ניטור הרשת שלהם זיהתה אנומליה ביחס התנועה הנכנסת והיוצאת לאתר ולאור הגידול ברוחב הפס הנכנס ביותר מ-100Gbps, הוחלט להעביר את הטראפיק ל-Akamai, שסיפקה להם קיבולת רשת נוספת. כנראה שהיה מדובר בהחלטה נבונה שכן בתוך דקות האתר חזר לעבודה במתכונתו הרגילה, ולכל התכנים והנתונים המאוחסנים בו – שלום.

Akamai

מקור: Akamai

המתקפה התבצעה ככל הנראה באמצעות טכניקה הנקראת Amplification Attack, ״מתקפת הגברה״; התוקפים עשו שימוש ב- memcaching, מערכת זיכרון מבוזרת המופצת באופן חופשי שתכליתה היא להציע ביצועים משופרים. הרעיון מאחורי מתקפה שכזו הוא שהתוקף מסוגל לזייף כתובת IP על מנת שזו תשלח בקשות מזויפות לשרת ה-UDP הפגוע. השרת, מבלי לדעת שמדובר בבקשה מזויפת, מכין את התגובה שלו בהתאם. אלא שהבלגאן מתחיל להתרחש ברגע שאלפי בקשות כאלו מועברות כביכול באופן תמים, מה שבסופו של דבר מכריע את המשאבים של הרשת. במילים פשוטות: התוקפים ניצלו את המערכת לרעה, זייפו את כתובת ה-IP של המטרה, במקרה הזה GitHub, על מנת להגביר באופן משמעותי את נפח התנועה אל האתר. (עבור כל בייט (byte) שנשלח על ידי התוקף, עד 51KB נשלחו לכיוון המטרה).

בסופו של דבר, GitHub היה למטה באופן רציף במשך 5 דקות ולסירוגין למשך 4 דקות נוספות, סה״כ 9 דקות של אי יציבות, לא רע בכלל יחסית למתקפת ה-DDoS הגדולה ביותר שראינו עד כה.

הילה חיימוביץ׳

גיקית, Deal With It

להגיב

13 תגובות

  1. זוזו ושות הגיב:

    היה למטה?
    מה יהיה עם התרגום, חברים?

  2. סלקט הגיב:

    העיקר לפרסם 3 ימים אחרי שהאירוע קרה.. תהיו קצת יותר עדכניים.

  3. סלקט הגיב:

    מוחקים פה תגובות בקצב, אם את כבר מתרגמת כתבה אז לפחות תביני מה את רושמת ועוד בכזה איחור אחרי שהאירוע קרה? חדשות הטכנולוגיה שלכם לא עומדות בקצב של העולם.

  4. אנונ הגיב:

    פרסומת לא סמויה במיוחד :/ בוז.

  5. ג\'ונס הגיב:

    למה ללכת שלושה ימים לאחור, בואו נעשה כתבה על זה שהמחשבים של הבנקים שרדו את באג 2000

  6. עד ראייה הגיב:

    זה היה מאד מפחיד- כדי להרגע הלכתי להכין תה
    כשחזרתי גיטהאב עלה – נשמתי לרווחה ושתיתי את התה…

  7. אני הגיב:

    יש פה באתר הרבה כתבות שאני מתלונן על התוכן שלהן אבל זאת דווקא יחסית בסדר, לא מושלם אבל מעביר את המסר ומי שרוצה עוד פרטים שיקרא בכתבות אחרות.
    גם לגבי הזמן מאז שזה קרה זה עוד סביר, לא קרה כזה מזמן ויש אנשים שבטוח שמעו על זה פעם ראשונה פה, לא כולם מתעדכנים כל הזמן.

  8. goog translate הגיב:

    הילה חיימוביץ, מהעולם הגדול לפרובינציה הישראלית דרך גוגל טרנסלייט, בדיליי של שלושה ימים. תודה הילה. יש לך את הג’וב ההסתדרותי המושלם

  9. ירון הגיב:

    מכיוון שאנחנו לא מצפים ש”כתבי הטכנולוגיה” של גיק-טיים יבינו טכנולוגיה לעומקה, אלא בעיקר יפציצו בכותרות, אספר לכם סוד:
    כמעט בלתי אפשרי, מתמטית (ואלקטרונית), לסכום את התעבורה במתקפה בסדר גודל בינוני ומעלה. ז”א, רוב הנתונים שאנחנו מקבלים על מתקפות שוחררו ע”י הנתקפות עצמן ללא וידוא כלשהו ולכן מנופחות בצורה קיצונית מאוד. סביר להניח שהייתה מתקפה, אך היא פחותה מעשירית התעבורה שדובר עליה כאן.

  10. ירון הגיב:

    מה הקשר בין memcaching לבין שיטת התקיפה ומה הקשר ל”שרת UDP פגוע”, אלוהים ישמור! תשארו בכתבות על מקבוקים וכמה הם מגניבים ועושים לכם טוב כשאנשים רואים אתכם יושבים בבית קפה עם התפוח הזוהר.

תגיות לכתבה: