GitHub a survécu à une attaque DDoS de 1,3 Tbps, OVH réagit
Le 02 mars 2018 à 09h26
2 min
Internet
Internet
Le réseau de distribution de contenu (CDN) Akamai annonce avoir été sous le feu d'une attaque par déni de service distribué (DDoS) en direction d'un acteur du développement logiciel, le 28 février vers 18 h. La cible ? GitHub, la principale plateforme en ligne de développement logiciel, utilisée par de très nombreux projets open source.
La tentative a culminé à 1,3 Tbps, un trafic doublé par rapport à l'ancien record constaté par Akamai, à savoir celle contre Dyn fin 2016, via un botnet Mirai (voir notre analyse).
Cette nouvelle attaque utilise un nouveau vecteur : memcached. Il s'agit d'un service destiné à accélérer les applications web, en maintenant un cache en mémoire. Le problème est que le service écoute à la fois les trafic TCP et UDP, sans besoin de s'authentifier, affirme Akamai.
Des instances memcached ont donc été exploitées pour « refléter » et amplifier le trafic reçu de l'attaquant vers GitHub, à la manière d'un miroir. « La vulnérabilité via cette mauvaise configuration est assez unique pour ce type d'attaque, car l'amplification peut atteindre un facteur de 51 000. Autrement dit, pour chaque octet envoyé par l'attaquant, jusqu'à 51 kilo-octets sont envoyés à la cible » constate GitHub.
Face aux premiers signes de l'attaque, l'entreprise a rapidement basculé son trafic vers Akamai, à raison. En réponse à l'incident, OVH a publié un guide pour sécuriser les instances memcached. L'opération tient en quelques commandes. De quoi faire un bon projet pour ce vendredi ou le week-end.
Le 02 mars 2018 à 09h26
Commentaires (15)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/03/2018 à 15h40
Le 02/03/2018 à 18h57
Le 03/03/2018 à 13h22
Le 05/03/2018 à 08h46
Merci pour cette généralité :)
Le 02/03/2018 à 09h05
Je viens de vérifier mes serveurs (dont le forum de NXI) et la configuration est bonne par défaut ! Pratique le petit guide d’OVH.
Le 02/03/2018 à 09h11
Est-ce que du coup le retour “mirroir mirroir c’est toi qui l’est !” peut de nouveau être considéré comme une défense dans les cours de récré ? " />
Modifié le 09/12/2024 à 21h25
Le 02/03/2018 à 11h49
Le 02/03/2018 à 11h53
Ah et c’est marqué en gros dans le fichier de conf aussi " />
Le 02/03/2018 à 12h39
bah non c’est commenté. Du coup le mec qui a parsé le fichier avec ses yeux pour mettre en place le bouzin a ignoré, logique " />
Le 02/03/2018 à 12h59
En plus memcached c’est en dépendance assez commune du coups par effet domino tu peux vite te retrouver avec le port ouvert si tu ne ferme pas tout par défaut.
J’avais remarqué ça sur des installation Zimbra par exemple.
Le 02/03/2018 à 13h04
Où est le problème ? Par défaut c’est 127.0.0.1
Le 02/03/2018 à 13h08
Le 02/03/2018 à 14h23
C’est vraiment des feignasses les développeurs : pas capable de sortir des applications non bugguées ou sans failles risibles, ils codent avec les pieds, utilisent des outils qui leur mâchent tout le travail, se plaignent d’être esclave des méchants commerciaux. D’autant plus que leur job se limitent la plupart du temps à de simple copier/coller.
Le 02/03/2018 à 15h19