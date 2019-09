GitHub, de populaire web-based hostingservice voor softwareontwikkeling met twintig miljoen gebruikers over de gehele wereld, werd in 2018 getroffen door een krachtige DDoS-aanval. Met een piek van 1,3 Tbps in het aanvalsverkeer was het op dat moment een van de grootste DDoS-aanvallen ooit.

Bezorgde gebruikers (sommigen waren nét volop bezig met een codecheck-in) probeerden op Twitter te achterhalen wat er aan de hand was. Helaas voor GitHub werd diens statuspagina ook geraakt, wat de onduidelijkheid over de problemen alleen maar groter maakte.

Bezorgde gebruikers van GitHub gebruikten Twitter om hun ervaringen te delen en informatie te vinden.

Gelukkig traden enkele minuten na de aanval de DDoS-protectiesystemen van GitHub in werking. Daardoor werd de DDoS-aanval succesvol geëlimineerd en bleef de impact ervan tot een minimum beperkt. Hoe verliep dit proces nu precies?

Eerste tekenen van een aanval

's Ochtends kwam een afname van de beschikbaarheid van GitHub-services aan het licht. De beschikbaarheid van de HTTP-server voor www.github.com daalde met 26 procent (zie afbeelding hieronder), wat voornamelijk te wijten was aan verbindingsfouten in de TCP-signaleringsfase. Verbindingsfouten duiden meestal op een dieper probleem in de netwerklaag. Deze theorie werd bevestigd door de toegenomen packetloss binnen de netwerklaag.

HTTP-beschikbaarheid van GitHub daalde met 26 procent wereldwijd, wat samenviel met een netwerk-packetloss van 24 procent.

In dit specifieke voorbeeld was er sprake van bijna honderd procent packetloss in een aantal netwerkpaden, wat sterk wees op een DDoS-aanval.

Een hoge mate van packetloss in het netwerk is een goede indicator voor beperkte resources als gevolg van een DDoS-aanval.

Prolexic in BGP-pad bevestigt DDoS-aanval

De aanval op GitHub werd ook nog eens bevestigd door de BGP-data. Die gaven aan dat Prolexic - een dochteronderneming van Akamai en een populair DDoS-mitigatieplatform - werd geïntroduceerd in het BGP AS-pad voor bereikbaarheid tot ten minste vijf van de GitHub-prefixes. In onderstaande afbeelding is de BGP-bereikbaarheid naar GitHub-prefixen weergegeven vanuit meerdere gezichtspunten, ook bekend als BGP-routemonitors. Vóór de aanval gebruikte GitHub (AS 36459) vier verschillende upstream-ISP's, waaronder Telia, Level 3 en NTT.

GitHub (AS 36459) haalt routes weg bij de grote, bekende providers en zorgt voor nieuwe peering met Prolexic (AS 32787), een DDoS-afweringsplatform.

Met DDoS-beperking in werking trok GitHub de BGP-routes (aangegeven met rode stippellijnen) van zijn primaire ISP's in en zorgde voor nieuwe BGP-peering met Prolexic (AS 32787).

Deze verandering in het BGP-pad leidde al het verkeer dat naar GitHub was gestuurd, naar de beveiliging van Prolexic, waar de DDoS-aanval werd afgeweerd. Binnen vijftien minuten werden de GitHub-services hersteld.

Succesvolle en efficiënte DDoS-afwering

GitHub was behoorlijk efficiënt in het afweren van de DDoS-aanval. Binnen enkele minuten werd de aanval geïdentificeerd en werden DDoS-verdedigingsmechanismen ingezet. Gezien de snelheid waarmee dit gebeurde, is het zeer waarschijnlijk dat het gehele detectie- en afweringsproces geautomatiseerd was (wat behoorlijk indrukwekkend is).

Hoewel de impact van de aanval niet langer dan vijftien minuten duurde, werd het verkeer bestemd voor GitHub tot zes uur na de aanval door de Prolexic-beveiliging gestuurd. De twee pieken in het BGP-pad in de tijdlijn in de afbeelding hieronder tonen het verschil in tijdstip waarop Prolexic werd geïntroduceerd in het AS-pad en vervolgens werd verwijderd.

Verkeer bestemd voor GitHub werd tot zes uur na de DDoS-aanval door Prolexic-beveiliging geleid.

Twee aanvallen in twee dagen

De eerste aanval was uitzonderlijk in de geschiedenis van DDoS-aanvallen. Binnen 24 uur werd GitHub echter getroffen door een tweede aanval die qua impact heftiger leek. GitHub's beschikbaarheid daalde met 61 procent, vergeleken met de 26 procent tijdens de eerste aanval.

In de twee afbeeldingen hieronder is een vergelijking te zien van de twee DDoS-aanvallen vanuit het perspectief van beschikbaarheid van services en globale scope. Net als tijdens de eerste aanval reageerde Prolexic heel snel om de gevolgen van de aanval te minimaliseren.

28 februari 2018, DDoS-aanval op GitHub. Beschikbaarheid daalde met 26 procent.

1 maart 2018, DDoS-aanval op GitHub. Beschikbaarheid daalde met 61 procent. En de impact lijkt veel breder in vergelijking met de eerste aanval.

DDoS-afwering monitoren

DDoS-aanvallen worden steeds frequenter en ook steeds krachtiger. De GitHub-aanvallen leidden tot een minimale onderbreking van de service en het afweerprocessen werden goed uitgevoerd. Maar niet alle DDoS-aanvallen verlopen op dezelfde manier. Het is daarom van groot belang om inzicht te krijgen in hoe je afweerproces in z'n werk gaat en wat een eventuele aanval betekent voor de gebruikerservaring. Want zonder inzicht is een onlinebedrijf niet effectief te runnen.

Dit artikel werd geschreven door Ramón Hemelrijk, Regional Sales Manager bij netwerkmonitoringsbedrijf ThousandEyes.