»зраильские эксперты предложили способ защиты от DDoS-атак

image

“еги: DDoS, кибератака

»зраильские эксперты по сетевой безопасности из компании Radware открыли любопытный способ борьбы с атаками на отказ в обслуживании. ёрий √ущин и јлекс Ѕехар предлагают обратить активность множества машин, управл€емых преступниками (ботнета) против них самих.

»зраильские эксперты по сетевой безопасности из компании Radware открыли любопытный способ борьбы с атаками на отказ в обслуживании. ёрий √ущин и јлекс Ѕехар предлагают обратить активность множества машин, управл€емых преступниками (ботнета) против них самих. — помощью этого способа разработчики намерены обмануть машины ботнета, заставл€€ их думать, что атакуемый сервер подключен к »нтернету через слишком медленный канал.

“ипова€ распределенна€ атака на отказ в обслуживани€ (DDoS - Distributed Denial Of Service) подразумевает вывод веб-сайтов из стро€ путем отправки огромного числа запросов на сервер с армии зараженных компьютеров. √руппу зараженных компьютеров, наход€щуюс€ под управлением злоумышленников, еще называют ботнетом. »зраильские специалисты решили нанести ответный удар, принужда€ атакующие машины к резкому увеличению нагрузки на собственные ресурсы.

Ќова€ разработка исследователей из компании Radware значительно отличаетс€ от традиционных способов защиты. ƒело в том, что в рамках общеприн€того подхода защитники блокируют вход€щие соединени€ от атакующих компьютеров и сокращают полосу пропускани€ канала, который соедин€ет сервер с »нтернетом. ”читыва€ растущие масштабы согласованных атак на веб-сайты, старый подход оказываетс€ все менее и менее эффективным, поскольку сервер в таком случае на самом деле практически перестает обрабатывать реальные запросы реальных пользователей, что, по сути, и €вл€етс€ целью злоумышленников.

√ущин и Ѕехар предлагают манипулировать вход€щими подключени€ми атакующих таким образом, чтобы повысить нагрузку на сам ботнет. Ќамеренно игнориру€ часть однотипных запросов, сервер убеждает атакующие компьютеры в том, что он не успевает их обрабатывать – из-за этого атакующие компьютеры вновь и вновь пытаютс€ установить соединение. »тогова€ задержка составл€ет 5 минут – в течение этого времени каждый узел ботнета работает вхолостую, что серьезно снижает общую производительность ботнета. ¬ какой-то момент атакующие компьютеры будут вынуждены сдатьс€ в зависимости от указаний, которые им отдал тот, кто управл€ет ботнетом. Ќесмотр€ на сложное описание, новый подход уже прошел испытани€ на практике еще в прошлом году, когда неформальна€ группа хакеров под названием Anonymous проводила серию атак в честь защиты известного ресурса WikiLeaks.

ќсобого внимани€ заслуживает прием, который авторы использовали дл€ распознавани€ запросов к серверу от нормальных компьютеров.  огда на сервер поступает запрос соединени€, тот отправл€ет в ответ фрагмент сценари€ Javascript или Flash-контента – обычный компьютер должен загрузить эти фрагменты в свой браузер. ¬ результате обработки фрагмента в браузере генерируетс€ ключ, удостовер€ющий добропор€дочность пользовател€ – ему предоставл€етс€ доступ к серверу в обычном режиме. «лоумышленники, теоретически, не смогут пройти подобный тест, поскольку попытки подключени€ осуществл€ютс€ без участи€ браузера.

јвторы нового способа защиты от DDoS-атак выпустили бесплатную версию своей утилиты дл€ проверки легитимности пользователей под названием Roboo – она была представлена на конференции Black Hat Europe в Ѕарселоне на этой неделе. јвторы признают, что эффект от нового способа различени€ ботов и людей может оказатьс€ очень коротким, если создатели ботнетов найдут метод обработки тестовых откликов сервера.


или введите им€

CAPTCHA
39553
22-03-2011 11:34:40
ѕохоже израильские эксперты открыли TARPIT в iptables. √л€дишь, через пару лет откроют geoip и т.п.
0 |
RU_LIDS
22-03-2011 12:03:50
—мысл не в tarpit, технологией которого они €вно пользуютс€, а в: в браузере генерируетс€ ключ, удостовер€ющий добропор€дочность пользовател€ Ц ему предоставл€етс€ доступ к серверу в обычном режиме.
0 |
noname
22-03-2011 12:19:13
реальный бред щас все нормальные ддос боты эмулируют javascript, это не т€жело написать. ћикрософт дает все компоненты дл€ этого
0 |
07708
22-03-2011 12:24:29
“.е. если у мен€ в браузере стоит носкрипт и флешблок или флеша нет совсем, то € мегахакир, и мен€ пасад€ть?
0 |
злой
22-03-2011 14:44:34
ещЄ и штраф впа€ют за бесплатный (без баннеров) просмотр контента в обход лицензии
0 |
Ќанобот
22-03-2011 12:17:49
вот-вот, тоже об этом подумал
0 |
Cmex
22-03-2011 15:14:26
“о есть израильские ученые считают, что при DDoSе намеренно отвечать на часть липовых запросов + игнорировать остальные + провер€ть/генерировать ключи в том числе и дл€ легальных пользователей будет менее накладно дл€ сервера?
0 |
ƒениска
22-03-2011 16:39:57
ј если ddos атака будет тупо пустыми ip-пакетами идти, но с максимальным размером ? тоесть если целью такой атаки будет просадить полосу
0 |
22-03-2011 19:32:44
ќт перегрузки полосы спасает только фильтраци€ на уровне аплинка.
0 |
Guest
23-03-2011 10:02:31
» как это спасет от обычного забивани€ канала через synflood?
0 |
92437
23-03-2011 11:36:32
до израильских экспертов добралась трава от британских ученых. встроенные в систему pf, ipfw, iptables уже давно умеют шейпы дл€ определенных типов пакетов.
0 |