Ізраільскія эксперты па сеткавай бяспецы з кампаніі Radware адкрылі цікаўны спосаб дужання з нападамі на адмову ў абслугоўванні. Юры Гущин і Алекс Бехар прапаноўваюць звярнуць актыўнасць мноства машын, кіраваных злачынцамі (ботнета) супраць іх саміх. З дапамогай гэтага спосабу распрацоўнікі маюць намер абдурыць машыны ботнета, прымушаючы іх думаць, што атакаваны сервер падлучаны да Інтэрнэту праз занадта павольны канал.
Тыпавы размеркаваны напад на адмову ў абслугоўвання (DDoS - Distributed Denial Of Service) разумее выснову вэб-сайтаў з ладу шляхам адпраўкі велізарнага ліку запытаў на сервер з войска заражаных кампутараў. Групу заражаных кампутараў, змешчаную пад кіраваннем зламыснікаў, яшчэ завуць ботнетом. Ізраільскія адмыслоўцы вырашылі вырабіць зваротны ўдар, прымушаючы атакавалыя машыны да рэзкага павелічэння нагрузкі на ўласныя рэсурсы. Новая распрацоўка даследнікаў з кампаніі Radware значна адрозніваецца ад традыцыйных спосабаў абароны. Справа ў тым, што ў рамках агульнапрынятага падыходу абаронцы блакуюць уваходныя злучэнні ад атакавалых кампутараў і скарачаюць паласу прапускання канала, які злучае сервер з Інтэрнэтам. Улічваючы якія растуць маштабы ўзгодненых нападаў на вэб-сайты, стары падыход апыняецца ўсё меней і меней эфектыўным, паколькі сервер у такім разе на самай справе практычна перастае апрацоўваць рэальныя запыты рэальных карыстачоў, што, па ісце, і з'яўляецца мэтай зламыснікаў. Гущин і Бехар прапаноўваюць маніпуляваць уваходнымі падлучэннямі атакавалых такім чынам, каб падвысіць нагрузку на сам ботнет. Наўмысна ігнаруючы частку аднатыпных запытаў, сервер пераконвае атакавалыя кампутары ў тым, што ён не паспявае іх апрацоўваць – з-за гэтага атакавалыя кампутары ізноў і ізноў спрабуюць усталяваць злучэнне. Выніковая затрымка складае 5 хвілін – на працягу гэтага часу кожны вузел ботнета працуе ўхаластую, што сур'ёзна зніжае агульную прадукцыйнасць ботнета. У нейкі момант атакавалыя кампутары будуць змушаныя здацца ў залежнасці ад указанняў, якія ім аддаў той, хто кіруе ботнетом. Нягледзячы на складанае апісанне, новы падыход ужо мінуў выпрабаванні на практыцы яшчэ летась, калі нефармальная група хакераў пад назовам Anonymous праводзіла серыю нападаў у гонар абароны вядомага рэсурсу WikiLeaks. Адмысловай увагі заслугоўвае прыём, які аўтары выкарысталі для распазнання запытаў да сервера ад нармалёвых кампутараў. Калі на сервер паступае запыт злучэння, той адпраўляе ў адказ фрагмент сцэнара Javascript або Flash-кантэнту – звычайны кампутар павінен загрузіць гэтыя фрагменты ў свой браўзэр. У выніку апрацоўкі фрагмента ў браўзэры генеруецца ключ, які сведчыць добрапрыстойнасць карыстача – яму падаецца доступ да сервера ў звычайным рэжыме. Зламыснікі, тэарэтычна, не змогуць мінуць падобны тэст, паколькі спробы падлучэння ажыццяўляюцца без удзелу браўзэра. Аўтары новага спосабу абароны ад DDoS-нападаў выпусцілі бясплатную версію сваёй утыліты для праверкі легітымнасці карыстачоў пад назовам Roboo – яна была прадстаўленая на канферэнцыі Black Hat Europe у Барселоне на гэтым тыдні. Аўтары прызнаюць, што эфект ад новага спосабу адрознівання ботаў і людзей можа апынуцца вельмі кароткім, калі стваральнікі ботнетов знойдуць метад апрацоўкі тэставых водгукаў сервера.
Ізраільскія эксперты прапанавалі спосаб абароны ад DDoS-нападаў
22 сакавіка 2011
Каментароў (0)