В этом месяце вы, возможно, заметили, что серверы, используемые проектом GMP — арифметической библиотекой с открытым исходным кодом, лежащей в основе GCC и других программ, — замедлились до минимума. Это произошло из-за потока сетевого трафика, источник которого весьма удивителен.
Пакеты пришли с серверов, связанных с Microsoft.
Торбьорн Гранлунд, главный автор GMP, поднял тревогу в примечании к списку рассылки проекта.
«Серверы GMP атакованы несколькими сотнями IP-адресов, принадлежащих корпорации Microsoft», — написал он. «Мы не знаем, сделано ли это Microsoft со злым умыслом, является ли это какой-то ошибкой или [it is one] своих облачных клиентов… запускает атаку. Атака нацелена на репозиторий GMP с тысячами идентичных запросов. Запросы продуманно выбраны так, чтобы вызвать большую нагрузку на систему.
«Мы отключаем брандмауэром все IP-адреса Microsoft в качестве экстренной помощи».
На следующий день Майк Блэкер, директор по поиску угроз, операциям и реагированию на GitHub Microsoft, определил виновника: рабочий процесс GitHub Actions, который клонирует репозиторий Mercurial и был разветвлен более 700 раз.
«Microsoft и GitHub исследовали проблему и определили, что пользователь GitHub обновил скрипт в рамках проекта FFmpeg-Builds, который извлек контент с https://gmplib.org», — пояснил Блэкер. «Эта сборка была настроена для проведения параллельных одновременных тестов на 100 различных типах компьютеров/архитектур. Это действие не выглядит гнусным. [GMP] похоже, имеет ограниченную инфраструктуру, которая не может поддерживать ограниченные, но одновременные запросы».
GitHub пытается предотвратить запуск рабочих процессов в разветвленных репозиториях. Но защита клонирования рабочего процесса не работает последовательно.
Это не первый случай, когда проект программного обеспечения кричит о DDoS из-за обременительных требований к трафику. В феврале 2022 года Дрю ДеВолт, основатель SourceHut, описал поведение GoogleGo Module Mirror как распределенная атака типа «отказ в обслуживании». После двух лет жалоб со стороны DeVault команда Googe в начале этого года согласилась сделать свое программное обеспечение менее требовательным к вычислительным ресурсам других людей.
Гранлунд не был полностью удовлетворен ни объяснением Блэкера, ни предполагаемой слабостью серверов проекта, которые до недавнего обновления AMD Epyc 7402P были не особенно надежными Intel E5-1650 v2.
«Наша машина довольно мощная, это машина серверного класса с большим количеством ядер и большим объемом оперативной памяти, а ее соединение — 1 GbE в центре обработки данных высшего класса», — ответил он.
«…Это НЕ законное использование какого-либо сервера в Интернете. Ваш ответ, кажется, предполагает, что это наша вина, что мы должны иметь более мощные серверы, чтобы приспособиться к такому поведению. Правда?»
Это было в субботу, 17 июня, и Гранлунд отправил Блэкеру письмо, в котором отметил, что поток трафика продолжается и что он продолжает блокировать адреса Microsoft в ответ.
18 июня автор FFmpeg-Builds опубликовал коммит, чтобы предупредить разработчиков, которые разветвляют репозиторий, чтобы скорректировать свои сценарии рабочего процесса. Он проверяет источник репо и, если он не оригинал, выводит сообщение на терминал разработчика:
По состоянию на прошлую неделю чрезмерный трафик все еще оставался проблемой.
«Наши серверы снова полностью доступны, но это результат того, что мы добавили все участвующие сетевые диапазоны Microsoft в наш брандмауэр», — поясняет проект GMP на своей веб-странице. «Мы понимаем, что мы далеко не первый проект, принявший такие меры против Github».
Кажется, они думают, что имеют право ругать более мелкие сайты.
Регистр спросил Гранлунда, доволен ли он ответом Microsoft-GitHub, и сказал нам, что слышал от Блэкера только один раз.
«Я заблокировал около 40 диапазонам IP-адресов доступ к нашему веб-серверу», — пояснил он.
«Через неделю после того, как это началось, по-прежнему шел интенсивный трафик с одних и тех же IP-адресов, возможно, всего около 100 разных адресов Microsoft, принадлежащих примерно к 40 диапазонам. Разница заключалась в том, что этот трафик просто вызвал незначительную нагрузку и строку журнала в брандмауэре.
“Задача решена. Меня не волнует, если они больше не смогут получить доступ к gmplib.org. Мне интересно, как мало ответственности берут на себя Github/Microsoft. Кажется, они думают, что имеют право наносить удары по более мелким сайтам».
GitHub не сразу ответил на запрос о комментарии. ®
PS: Если вы заметили часовой перерыв в работе Let’s Encrypt, выдавший TLS-сертификат в этом месяце, вот технический анализ, проведенный инженером-программистом и криптографом Эндрю Эйером.
