Интеллектуальная маршрутизация поможет покончить с DDoS-атаками

Хакерские атаки на корневые интернет-серверы, случившиеся на прошлой неделе, высветили проблему атак типа DDoS и вновь привлекли внимание к методам борьбы с ними. Одно из возможных решений - спуститься как можно дальше "вниз" с помощью интернет-роутеров, чтобы прервать атаку как можно ближе к ее источнику.

В прошлый понедельник девять из тринадцати корневых DNS-серверов подверглись бомбардировке паразитным трафиком с различных компьютерных систем. Несмотря на то, что сама атака особой изощренностью не отличалась, эксперты полагают, что если бы она продлилась еще несколько часов, то могла бы вызвать существенные нарушения в работе всемирной Сети.

Считать это изолированной проблемой нельзя. Отдельные веб-сайты регулярно подвергаются аналогичным атакам меньшего масштаба, приводящим к нарушению трафика. Распределенность источников атаки делает многие меры противодействия им неэффективными. Программы обеспечения безопасности, способные блокировать трафик, не срабатывают, если он приходит из различных источников. В этом случае программы не могут пресечь атаку без блокирования также и всего нормального трафика.

Фил Хаггинс (Phil Huggins), консультант фирмы @Stake, полагает, что лучшим решением может стать пересмотр структуры сети. По его мнению, атаки типа DDoS невозможно прекратить в рамках существующей сетевой инфраструктуры интернета. Эксперт Стив Беллоуин (Steve Bellovin) и его коллеги из AT&T Labs считают, что покончить с атаками удастся, если обратить трафик "вспять", к его источнику. Его группа разрабатывает методику перепрограммирования роутеров, позволяющую им опознавать DDoS-атаки и прекращать их. В нормальном состоянии устройства работают в качестве узловых точек сети, направляющих трафик из одного пункта в другой.

Исследователи разработали прототип программного средства, получившего название Pushback. Оно способно распознать необычно высокий трафик и блокировать его, передавая при этом информацию об атаке другим роутерам, которые смогут блокировать атаку как можно ближе к ее источнику.

Ученые из Калифорнийского университета в Лос-Анджелесе разработали альтернативную технологию, позволяющую остановить DDoS-атаки. Программа под названием D-Ward, которая устанавливается на шлюз сети, способна отслеживать не только входящий, но и исходящий трафик в поисках подозрительно высокой активности.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus