Израильские эксперты по сетевой безопасности из компании Radware открыли любопытный способ борьбы с атаками на отказ в обслуживании. Юрий Гущин и Алекс Бехар предлагают обратить активность множества машин, управляемых преступниками (ботнета) против них самих.
Типовая распределенная атака на отказ в обслуживания (DDoS - Distributed Denial Of Service) подразумевает вывод веб-сайтов из строя путем отправки огромного числа запросов на сервер с армии зараженных компьютеров. Группу зараженных компьютеров, находящуюся под управлением злоумышленников, еще называют ботнетом. Израильские специалисты решили нанести ответный удар, принуждая атакующие машины к резкому увеличению нагрузки на собственные ресурсы.
Новая разработка исследователей из компании Radware значительно отличается от традиционных способов защиты. Дело в том, что в рамках общепринятого подхода защитники блокируют входящие соединения от атакующих компьютеров и сокращают полосу пропускания канала, который соединяет сервер с Интернетом. Учитывая растущие масштабы согласованных атак на веб-сайты, старый подход оказывается все менее и менее эффективным, поскольку сервер в таком случае на самом деле практически перестает обрабатывать реальные запросы реальных пользователей, что, по сути, и является целью злоумышленников.
Гущин и Бехар предлагают манипулировать входящими подключениями атакующих таким образом, чтобы повысить нагрузку на сам ботнет. Намеренно игнорируя часть однотипных запросов, сервер убеждает атакующие компьютеры в том, что он не успевает их обрабатывать – из-за этого атакующие компьютеры вновь и вновь пытаются установить соединение. Итоговая задержка составляет 5 минут – в течение этого времени каждый узел ботнета работает вхолостую, что серьезно снижает общую производительность ботнета. В какой-то момент атакующие компьютеры будут вынуждены сдаться в зависимости от указаний, которые им отдал тот, кто управляет ботнетом. Несмотря на сложное описание, новый подход уже прошел испытания на практике еще в прошлом году, когда неформальная группа хакеров под названием Anonymous проводила серию атак в честь защиты известного ресурса WikiLeaks.
Особого внимания заслуживает прием, который авторы использовали для распознавания запросов к серверу от нормальных компьютеров. Когда на сервер поступает запрос соединения, тот отправляет в ответ фрагмент сценария Javascript или Flash-контента – обычный компьютер должен загрузить эти фрагменты в свой браузер. В результате обработки фрагмента в браузере генерируется ключ, удостоверяющий добропорядочность пользователя – ему предоставляется доступ к серверу в обычном режиме. Злоумышленники, теоретически, не смогут пройти подобный тест, поскольку попытки подключения осуществляются без участия браузера.
Авторы нового способа защиты от DDoS-атак выпустили бесплатную версию своей утилиты для проверки легитимности пользователей под названием Roboo – она была представлена на конференции Black Hat Europe в Барселоне на этой неделе. Авторы признают, что эффект от нового способа различения ботов и людей может оказаться очень коротким, если создатели ботнетов найдут метод обработки тестовых откликов сервера.
Никаких овечек — только отборные научные факты