Новый DDoS-фильтр защитит от хакерских атак

image

Теги: DDoS, хакерские атаки

Инженеры компьютерных систем Джон Ву, Тонг Лю, Энди Хуанг и Дэвид Ирвин придумали фильтр против DoS-атак, который обходит проблему путём применения нового пассивного протокола для обоих участников обмена трафиком: пользователя и ресурса.

Технология защиты против DoS-атак , осуществляемых против компьютерных сетей, серверов и систем облачных вычислений, может существенно повысить безопасность государственных, коммерческих и образовательных структур. Свою разработку в этой области предложили исследователи из Университета Аубурна (Auburn University), Алабама. Атаки DoS и DDoS делают сетевой ресурс недоступным для пользователей. Обычно цель такого нападения лежит в коммерческой плоскости и заключается в снижении репутации ресурса, уменьшении его клиентской базы, перенаправлении на ложный адрес, получении доступа к закрытой информации и тому подобное.

Атака подразумевает получение целевым сервером ложных запросов из внешней сети (интернета). В случае DDoS запросы формируются множеством компьютеров, чьи владельцы часто не подозревают о характере сетевой активности своих инфицированных вредоносным ПО машин. В результате "жертва", будь это вебсайт, почтовый сервер или база данных не сможет своевременно ответить на легитимный трафик, обрабатывая ложный, и станет недоступной извне. Методы противостояния заключаются в конфигурировании программного и аппаратного обеспечения для фильтрации подозрительного потока данных и распознавания его признаков по определённым "отпечаткам". Тем не менее, фильтры часто расположены на тех же серверах, которые подвергаются нападению, поэтому при массивной DDoS-атаке вычислительные ресурсы истощаются.

Инженеры компьютерных систем Джон Ву, Тонг Лю, Энди Хуанг и Дэвид Ирвин придумали фильтр против DoS-атак, который обходит проблему путём применения нового пассивного протокола для обоих участников обмена трафиком: пользователя и ресурса. Разработка "Основанный на идентичности фильтр контроля доступа с защитой конфиденциальности" (Identity-Based Privacy-Protected Access Control Filter, IPACF) блокирует потоки данных к защищаемым компьютерам, серверам идентификации (AS) и другим машинам, позволяя пользователям с верным паролем беспрепятственно работать с веб-ресурсами. Компьютер пользователя должен передать некое сгенерированное для фильтра значение серверу для быстрой проверки. Оно представляет собой одноразовый сформированный закрытый ключ, отправляемый вместе с идентификатором. Атакующий не может подобрать обе величины корректно, и ложные пакеты данных не пропускаются.

Препятствие в использовании дополнительной информации для проверки подлинности запросов заключается в затрачиваемых на процесс вычислениях. Однако исследователи протестировали, насколько приемлемо IPACF справляется с массивными DDoS-атаками, смоделированными на сети из 1000 узлов с пропускной способностью 10 Гбит/с. Они обнаружили, что сервер испытывает незначительную нагрузку, время задержки ответа также ненамного возрастает и дополнительная вычислительная мощность почти не требуется, даже когда весь 10-Гбит канал заполнен DDoS-пакетами. У IPACF уходит 6 наносекунд на признание пакета данных ассоциированным со злонамеренным трафиком.


или введите имя

CAPTCHA
Страницы: 1  2  
Гость
06-10-2009 11:37:08
Компьютер пользователя должен передать некое сгенерированное для фильтра значение серверу для быстрой проверки. Оно представляет собой одноразовый сформированный закрытый ключ, отправляемый вместе с идентификатором.Некорректно изложен метод, но в целом узнаваемо и 1 в 1 похоже на алгоритм работы openvpn: проверка сертификата пользователя и сервера перед установкой соединения. От НСД помогает отлично, но против ДоС не годится. Ничего не мешает атакующему инициировать тысячи попыток подключения с неправильным сертификатом и тысячи раз получать отказ, результат будет тот же - до сервера не достучаться. Если ввести лимит попыток соединений с одного IP, результат будет еще хуже, т. к. существует немало возможностей отправлять пакеты с чужого IP, атакующий может скомпрометировать адреса легитимных пользователей и полностью лишить их доступа к сервису. Защититься от ДоС можно гораздо проще: смена порта сервиса, тригеры, обратные прокси, ну и файрволл настраивать с умом.
0 |
RU_LIDS
06-10-2009 13:17:53
Статья и впрямь мутная. Из нее можно понять, что: 1. на клиентах должен стоять клиент доступа. Но это не юзабильно и такие системы уже давно приминяются. 2. снимается нагрузка с целевого сервера и перекладывается на фильтрующий сервер. Но в обычных VPN сетях именно так и делается: фильтрующим сервером является VPN сервер. Опять ничего нового. 3. не решается проблема зафлуживания ВСЕЙ полосы пропускания.
0 |
82816
06-10-2009 13:29:21
Суть не в том, что прокатит или нет. Главное сделать патент и вкатить технологию в массы, а когда и эти фильтры начнут иметь то разведут руками, мол прогресс, хакеры совершенствуют атаки и тд.
0 |
71663
06-10-2009 14:41:46
Ой не говори! Хакеры - это вообще пипец. Совершенствуются и совершенствуются! Совершенствуются и совершенствуются! Давеча я к соседки заходила, у неё внучок - хакер: целый день сидит и дрочит, сидит и дрочит..
0 |
76234
06-10-2009 15:34:26
Это называицца ни хакир а кибердрочир!
0 |
АнтиГость
06-10-2009 18:14:44
Здесь совсем не тот метод, что для VPN. Имеется в виду, что на промежуточном шлюзе будет стоять фильтр, который будет проверять сгенерированое значение и если верно, пропускать дальше в сеть. Прои этом от НСД это как раз-таки не помогает, так как нет полного ресурсоемкого алгоритма проверки сертификатов, а простая проверка чисел. А вот он DDoS помогает, так как непроверенный трафик не попадет внутрь сети, в то время как легитимные клиенты будут работать без проблем. И еще вопрос: как это Вы собрались с умом настроить файрвол против DDoS?
0 |
Гость
06-10-2009 19:25:58
А вот он DDoS помогает, так как непроверенный трафик не попадет внутрь сетиХа-ха, трафик не попадает внутрь сети! А атакующему этого и не надо. Он загрузит фильтр на 100% и никто через него не пробъется. А если ботнет большой то просто забъет полосу и всё. Не, от ДДоСа поможет полько настройка ограничений на BGP. В пределах своей сетки можно распространить на рутерах black list атакующих сетей и разгрузить хотя бы внутренние каналы, с пирами опять же можно согласовать блокировку, это в их же интересах, а оператор под которым работает ботнет в свою очередь сам примет меры для её подавления, чтобы общество на него обиду и black list`ы не держало)))
0 |
Гость
06-10-2009 11:38:17
даже когда весь 10-Гбит канал заполнен DDoS-пакетами.Не понял, если весь канал забит - значит DDoS цели достиг и в чем фишка?
0 |
ddos
06-10-2009 11:39:19
нихрена не понял, но удачи. вон МГУ вообщще месплатно от ддоса защитить предлагает http://www.infosecurity.ru/_gazeta/content/090904/art2.shtml
0 |
45435
06-10-2009 12:59:32
Ога, себя они уже защитили http://dmvn.mexmat.net/
0 |
456346
06-10-2009 12:56:56
Фильтр представляет собой чайное ситечко, которое одевается на разъём интернет линии. Данная защита гарантирует что через интернет кабель к вам не залезут черви и уж тем более не пролезут троянские кони.
0 |
79667
06-10-2009 13:32:45
отстал от жизни... сегодня уже миллионы пользователей надевают на сетевой коннектор кондом, дабы не дай бог не подхватить какой нибудь вирус или троянс
0 |
97934
06-10-2009 13:48:25
1. решение нежизнеспособно 2. это не спасет от ботнетов и что мы имеем в итоге? те же яйца, только сбоку - но производители ПО и аппаратуры смогут нагреться на продаже
0 |
Страницы: 1  2