Revisión de ataque DDoS amplificado realizado contra GitHUB




Hace unos días, se había descubierto la posibilidad de realizar un ataque de denegación de servicio amplificado con los servidores de Memcached ( 28 de Febrero), pero ese mismo día del descubrimiento, se realizo un ataque sin precedentes a los servidores de GITHUB. Este ataque fue un DDOS, que alcanzo los 1.35 Tbps.

Interesantemente, los atacantes no usaron ninguna red botnet, si no que utilizaron servidores de Memcached mal configurados para realizar la amplificación del ataque DDOS.

El apodado Memcrashed, es un ataque de denegación de servicio distribuido,que funciona enviado una solicitud falsificada a los servidores de Memcached con puerto 11211, el atacante reemplaza su ip por una dirección falsa, que correspondería al IP de la victima, similar a lo que ocurre con un ataque de Amplificación DNS.

Este ataque fue el mas grande que se ha visto a la fecha, mas del doble del ataque realizado el 2016 por la red botnet mirai, y posiblemente el ataque DDOS mas grande que se ha publicado. 

Aunque los ataques de amplificación no son nuevos, este vector de ataque explota servidores de MemCached mal configurados, los cuales están expuestos a Internet, para poder lanzar un ataque masivo contra otros objetivos.

Para mitigar el ataque será necesario realizar el bloqueo a nivel de firewall de los puertos Tcp/UDP 11211

Referencias:

https://blogs.akamai.com/2018/03/memcached-fueled-13-tbps-attacks.html
https://githubengineering.com/ddos-incident-report/