O GitHub relatou um ataque DDoS que atingiu pico de 1,35 Tbps, segundo seu relatório de incidente.1 O número chama atenção, mas a parte mais importante é o vetor: reflexão e amplificação usando servidores memcached expostos na internet. Um serviço criado para cache interno vira arma de tráfego massivo.

O GitHub consegue restaurar estabilidade rapidamente com apoio de mitigação especializada. Ainda assim, o episódio expõe a assimetria moderna de disponibilidade. Um atacante não precisa controlar infraestrutura equivalente à vítima; basta encontrar protocolos mal expostos que amplifiquem pacotes pequenos em respostas enormes.

Memcached não deveria estar na internet

Memcached foi projetado para redes confiáveis, não para exposição pública. Quando instâncias acessíveis pela internet respondem a tráfego UDP, elas podem ser usadas para amplificação. A Cloudflare chama atenção para a gravidade do fenômeno, explicando como a porta 11211 aberta cria ataques de grande escala.2

Esse detalhe é uma lição recorrente de segurança: defaults e topologias importam. Serviços internos devem ser isolados por rede, firewall, autenticação quando disponível e inventário. Quando uma tecnologia de infraestrutura aparece publicamente sem necessidade, ela deixa de ser apenas problema do proprietário e passa a afetar terceiros.

No caso memcached, a responsabilidade é distribuída. Provedores, operadores de servidores, fabricantes de imagens, equipes de rede e plataformas de mitigação têm papéis diferentes. A internet é interdependente demais para que disponibilidade seja tratada como assunto privado de cada empresa.

Resiliência é resposta em minutos

O relatório do GitHub destaca uma sequência de detecção, escalonamento e mitigação. Em ataques volumétricos, a velocidade de decisão é tão importante quanto a capacidade técnica. Não adianta ter contrato de mitigação se o processo de acionamento depende de improviso.

Empresas que dependem de serviços digitais precisam preparar rotas de resposta: quem declara incidente, quem aciona fornecedores, quais métricas indicam saturação, como clientes serão comunicados e quais componentes podem ser degradados sem derrubar o produto inteiro. DDoS é um teste de arquitetura e governança.

Também é preciso distinguir redundância de absorção. Ter múltiplas zonas ou regiões ajuda contra certas falhas, mas tráfego malicioso pode saturar links, bordas e serviços compartilhados. Proteção contra DDoS exige capacidade de filtragem antes que o tráfego chegue ao ambiente principal.

Disponibilidade vira assunto de ecossistema

O ataque ao GitHub é notável porque atinge uma plataforma central para desenvolvimento de software. Quando GitHub cai, pipelines, deploys, revisão de código e colaboração global podem sentir o impacto. A disponibilidade de uma plataforma assim afeta cadeias inteiras de entrega.

O episódio também reforça a necessidade de higiene coletiva. Fechar memcached exposto não protege apenas o dono do servidor; reduz munição disponível para ataques contra outras vítimas. Esse é um dos pontos menos intuitivos da segurança operacional: má configuração individual pode virar risco sistêmico.

O pico de 1,35 Tbps deixa de ser apenas recorde técnico. Vira lembrete de que resiliência moderna combina arquitetura defensiva, parceiros especializados, observabilidade, resposta treinada e responsabilidade sobre serviços que nunca deveriam estar abertos para a internet.

  1. GitHub Engineering, "February 28th DDoS Incident Report", 1 março 2018.
  2. Cloudflare Blog, "Memcrashed - Major amplification attacks from UDP port 11211", 2018.