Github Selamat dari Serangan DDoS Terbesar Yang Pernah Diterima

Github Selamat dari Serangan DDoS Terbesar Yang Pernah Diterima

Jakarta, 02 Apr 2018

Github Selamat dari Serangan DDoS Terbesar Yang Pernah Diterima

LILY HAY NEWMAN pada 03.01.1811: 01 AM

 

PADA RABU, DI sekitar 12:15 pm EST, 1,35 terabit per detik dari lalu lintas menghantam platform pengembang GitHub sekaligus. Itu adalah serangan denial of service terdistribusi paling kuat yang tercatat hingga saat ini — dan ini menggunakan metode DDoS yang semakin populer, tidak perlu botnet.

 

GitHub sempat berjuang dengan gangguan terputus-putus saat sistem digital menilai situasinya. Dalam 10 menit itu secara otomatis meminta bantuan dari layanan mitigasi DDoS-nya, Akamai Prolexic. Prolexic mengambil alih sebagai perantara, merutekan semua lalu lintas yang masuk dan keluar dari GitHub, dan mengirim data melalui pusat scrubbing untuk menyingkirkan dan memblokir paket jahat. Setelah delapan menit, penyerang menyerah dan serangan itu turun.

 

Skala serangan memiliki beberapa paralel, tetapi DDoS besar-besaran yang melanda perusahaan infrastruktur internet Dyn pada akhir 2016 mendekat. Serangan itu memuncak pada 1,2 terabit per detik dan menyebabkan masalah konektivitas di AS saat Dyn berjuang untuk mengendalikan situasi.

 

“Kami mencontoh kemampuan kami berdasarkan lima kali lipat serangan terbesar yang pernah dilihat oleh internet,” Josh Shaul, wakil presiden keamanan web di Akamai mengatakan kepada WIRED beberapa jam setelah serangan GitHub berakhir. “Jadi saya akan yakin bahwa kami dapat menangani 1,3 Tbps, tetapi pada saat yang sama kami tidak pernah memiliki terabit dan setengah datang sekaligus. Itu satu hal untuk memiliki kepercayaan diri. Itu hal lain untuk melihatnya benar-benar memainkan cara yang Anda harapkan. "

 

Lalu lintas waktu nyata dari serangan DDoS.AKAMAI

Akamai membela terhadap serangan itu dengan sejumlah cara. Selain infrastruktur pertahanan DDoS umum Prolexic, perusahaan juga baru-baru ini menerapkan mitigasi khusus untuk jenis serangan DDoS yang berasal dari server memcache yang disebut. Sistem cache basis data ini berfungsi untuk mempercepat jaringan dan situs web, tetapi tidak dimaksudkan untuk ditampilkan di internet publik; siapa pun dapat menanyakannya, dan mereka juga akan menanggapi siapa pun. Sekitar 100.000 server memcache, kebanyakan dimiliki oleh bisnis dan lembaga lain, saat ini duduk terekspos online tanpa perlindungan otentikasi, yang berarti penyerang dapat mengaksesnya dan mengirim mereka paket perintah khusus yang akan ditanggapi oleh server dengan balasan yang jauh lebih besar.

 

Tidak seperti serangan botnet formal yang digunakan dalam upaya DDoS besar, seperti melawan Dyn dan OVH telekomunikasi Prancis, memcached serangan DDoS tidak memerlukan botnet yang digerakkan oleh malware. Penyerang cukup spoof alamat IP korban mereka dan mengirim pertanyaan kecil ke beberapa memcache server-sekitar 10 per detik per server-yang dirancang untuk memperoleh respon yang jauh lebih besar. Sistem memcached kemudian mengembalikan 50 kali data permintaan kembali ke korban.

 

Dikenal sebagai serangan amplifikasi, jenis DDoS ini telah muncul sebelumnya. Tetapi karena penyedia layanan dan infrastruktur internet telah melihat serangan DDoS memcache meningkat selama seminggu terakhir atau lebih, mereka telah bergerak cepat untuk menerapkan pertahanan untuk memblokir lalu lintas yang berasal dari server memcache.

 

"Serangan DDoS besar seperti yang dimungkinkan dengan menyalahgunakan memcached adalah kekhawatiran bagi operator jaringan," kata Roland Dobbins, insinyur utama di DDoS dan perusahaan jaringan-keamanan Arbor Networks yang telah melacak tren serangan memcache. "Volume tipis mereka dapat berdampak negatif pada kemampuan jaringan untuk menangani lalu lintas internet pelanggan."

 

Komunitas infrastruktur juga mulai berusaha mengatasi masalah mendasar, dengan meminta pemilik server memcache yang terpapar untuk membawa mereka keluar dari internet, menjaga mereka tetap aman di belakang firewall di jaringan internal. Grup seperti Prolexic yang mempertahankan serangan DDoS aktif telah ditambahkan atau berebut untuk menambahkan filter yang segera mulai memblokir lalu lintas memcache jika mereka mendeteksi jumlah yang mencurigakan. Dan jika perusahaan backbone internet dapat memastikan perintah serangan yang digunakan dalam DDoS memcached, mereka dapat maju dari lalu lintas jahat dengan memblokir paket memcache yang panjang itu.

 

"Kami akan menyaring perintah yang sebenarnya sehingga tidak ada yang dapat meluncurkan serangan," kata Dale Drew, kepala strategi keamanan di penyedia layanan internet CenturyLink. Dan perusahaan perlu bekerja cepat untuk membangun pertahanan ini. "Kami telah melihat sekitar 300 pemindai perorangan yang menelusuri kotak memcache, jadi setidaknya ada 300 orang jahat yang mencari server terbuka," Drew menambahkan.

 

Sebagian besar serangan DDoS memcached telah melihat topout di sekitar 40 hingga 50 gigabit per detik, tetapi industri telah semakin menyadari serangan yang lebih besar hingga 500 gbps dan seterusnya. Pada hari Senin, Prolexic membela terhadap serangan DDoS memcached 200 gbps yang diluncurkan melawan target di Munich.

 

Serangan hari Rabu bukanlah pertama kalinya serangan DDoS besar-besaran menargetkan GitHub. Platform itu menghadapi serangan enam hari pada Maret 2015, kemungkinan dilakukan oleh peretas yang disponsori negara China. Serangan itu mengesankan untuk tahun 2015, tetapi teknik dan platform DDoS — terutama botnet Internet of Things-powered — telah berevolusi dan tumbuh semakin kuat ketika mereka mencapai puncaknya. Bagi para penyerang, keindahan serangan DDoS yang memcached adalah tidak ada malware yang didistribusikan, dan tidak ada botnet yang harus dipelihara.

 

Pemantau web dan perusahaan intelijen jaringan, ThousandEyes, mengamati serangan GitHub pada hari Rabu. "Ini adalah mitigasi yang sukses. Semuanya terjadi dalam 15 hingga 20 menit," kata Alex Henthorne-Iwane, wakil presiden pemasaran produk di ThousandEyes. "Jika Anda melihat statistik Anda akan menemukan bahwa deteksi serangan DDoS secara global saja biasanya membutuhkan waktu sekitar satu jam plus, yang biasanya berarti ada manusia yang terlibat mencari dan menggaruk-garuk kepala. Ketika semuanya terjadi dalam waktu 20 menit Anda tahu bahwa ini terutama didorong oleh perangkat lunak. Sangat menyenangkan melihat gambaran kesuksesan. "

 

GitHub melanjutkan perutean lalu lintasnya melalui Prolexic selama beberapa jam untuk memastikan bahwa situasinya telah diselesaikan. Akamai's Shaul mengatakan dia mencurigai bahwa penyerang menargetkan GitHub hanya karena itu adalah layanan profil tinggi yang akan mengesankan untuk dijatuhkan. Para penyerang juga mungkin berharap mengambil tebusan. "Durasi serangan ini cukup singkat," katanya. "Saya pikir itu tidak berdampak apa-apa jadi mereka hanya mengatakan itu tidak sebanding dengan waktu kita lagi."

 

Sampai server memcached keluar dari internet publik, meskipun, tampaknya bahwa penyerang akan memberikan DDoS skala ini.

 

Sumber: https://www.wired.com/story/github-ddos-memcached/

Sumber Foto: https://www.wired.com/story/github-ddos-memcached/

Other Articles

Copyright©2017 Blue Power Technology All Right Reserved.