Vi har fått vänja oss vid allt kraftfullare DDoS-attacker de senaste åren, men de senaste veckorna har slagstyrkan minst sagt skruvats upp ytterligare några snäpp. För knappt en vecka sedan utsattes GitHub, världens största plattform för utvecklare, för en storskalig DDoS-attack vars bandbredduppmättes till 1,35 Tbit/s – den kraftfullaste attack som någonsin skådats. Det tidigare rekordet hade den mycket uppmärksammade attacken mot domänleverantören Dyn – då uppmättesbandbredden till 1,2 Tbit/s.
Den stora skillnaden med attacken mot GitHub var att den till skillnad från Dyn-attacken (och den absoluta majoriteten av DDoS-angepp) inte härstammande från ett massivt botnät. I stället förlitade sig attacken på så kallad memcrashing (läs gärna Cloudflares ingående förklaring här) där Memcached-servrar angrips. Memcached är ett öppen källkodbaserat system för minneshantering som används för att påskynda åtkomstitiden för frekvent använda filer på dynamiska och databasdrivna webbplatser. Genom att cacha data och objekt direkt i arbetsminnet minskar antalet gånger en extern datakälla (såsom en databas eller ett API) måste läsas in.
Angriparna utnyttjade publika servrar med UDP-stöd, vilket förstärkteattacken oerhört mycket. Genom att skicka förfrågningar till servrarna med Githubs IP-adresser som avsändare, lyckades man amplifiera svarspaketen så att de blev över 50 000 gånger större i storlek än de ursprungliga förfrågningarna.
Rekordet stod sig inte ens en vecka
Nätjätten Akamai lyckades dock,via sitt Prolexic-nätverk, avvärja de värsta skadeverkningarna av rekordattacken. GitHub var uppe igen (om än med en del störningar) redan efter tio minuter. Akamai gick dock snabbt ut med en varning om att vi förmodligen bara fått en försmak av vad DDoS parat med memcrashing kan åstadkomma. Och dessvärre fick de rätt tidigare än någon anat. Inte ens en vecka efter attacken mot GitHub rök rekordet all världens väg när Arbor Networks meddelade att man uppmätt en attack med en bandbredd på hela 1,7 Tbit/s mot en ännu icke namngiven amerikansk tjänsteleverantör.
Arbor pekade dock omedelbart på att angriparna använt sig av samma memcrashing-metod som vid GitHub-attacken. Säkerhetsforskare har i flera år varnat för möjligheten att utnyttja just dessa servrar. Det finns hundratusentals memcached-servrar uppkopplade mot nätet, vilket inte bådar helt gott inför framtiden. Risken är överhängande att vi kommer att få läsa om fler terabit-attacker inom den närmaste framtiden – och som vi vet är det inte direkt alla företag och tjänsteleverantörer som kan förlita sig på att Cloudflare eller Akamai fixar biffen åt dem.