DDoS-фильтр из Алабамы защитит серверы аутентификации

Исследователи из Университета Оберна, штат Алабама, разработали систему фильтрации, позволяющую малыми затратами защитить аутентификационные серверы от DDoS-атак.

Как известно, [распределённые] атаки на отказ в обслуживании строятся на том, чтобы озадачить сервер большим количеством запросов. Существуют методы для противодействия таким атакам, основанные на фильтрации запросов от неавторизованных пользователей.

Однако проверка компьютеров также отнимает вычислительные ресурсы. Если достаточное количество компьютеров обратятся к серверу, передав ему случайные логины/пароли, это тоже может стать DDoS-атакой, которая положит сервер.

Алабамские учёные разработали протокол для пассивной аутентификации клиентских компьютеров, которая практически не отнимает у сервера вычислительные ресурсы. Система IPACF (Identity-Based Privacy-Protected Access Control Filter — основанный на подлинности фильтр контроля доступа с защитой конфиденциальности) построена на установке компьютеров пользователей, имеющих доступ к некому сетевому ресурсу, специальной программы.

Обращение клиента к серверу сопровождается своеобразной цифровой подписью, состоящей из комбинации одноразового закрытого ключа и одноразового псевдоидентификатора. Подробности алгоритма нам выяснить не удалось — в свободном доступе находится только краткое изложение работы, опубликованной в журнале International Journal of Information and Computer Security.

"Это, насколько понятно из абстракта, софтверный аналог шифра Вернама (one-time pad) с относительно большим размером таблицы, — полагают специалисты Центра телекоммуникаций и технологий Интернет МГУ, к которым "Вебпланета" обратилась за разъяснениями. — Запрос к серверу аутентификации подписывается/оборачивается таким образом, что проверить, идёт ли запрос к серверу аутентификации от честного пользователя или от "левого" компьютера, очень дёшево. Соответственно, вся процедура проверки предложенных аутентификационных данных не проводится, а значит, заДДоСить сервер, проверяющий пароли, становится значительно сложнее".

Теоретически злоумышленники могут положить сервер с системой IPACF, используя очень большие, если не гигантские ресурсы. Смоделированная атака показала, что 1000 "нелегитимных" компьютеров, объединённых в сеть с 10-гигабитным каналом, вызывают очень незначительную нагрузку на сервер. На то, чтобы распознать и отклонить "левый" пакет данных, ему требуется всего 6 наносекунд (параметры сервера не уточняются).

Поскольку подробности работы этого фильтра для нас закрыты, можно только гадать, сможет ли сервер защититься от трафика, генерируемого зараженными компьютерами с предварительно установленным софтом IPACF.


Игорь Крейн, Вебпланета





Интересные новости
Перша українська криптобіржа Kuna закрила депозити та оголосила дату припинення роботиПерша українська криптобіржа Kuna закрила депозити та оголосила дату припинення роботи
Блок рекламы


Похожие новости

Топ-5 советов Госспецсвязи, как защититься от фишингаТоп-5 советов Госспецсвязи, как защититься от фишинга
9 мая активизируются роSSийские хакеры: в Госспецсвязи рассказали, как защититься9 мая активизируются роSSийские хакеры: в Госспецсвязи рассказали, как защититься
Хакеры взломали серверы Gigabyte, зашифровали данные и требуют выкуп
Омбудсмен пообещала защитить персональные данные украинцев
Хакеры атаковали серверы Минздрава США
Googlebot не запрашивает Analytics и рекламные серверы при сканировании
YouTube подвергся расследованию со стороны FTC за неспособность защитить детей
Цукерберг пообещал защитить личные данные пользователей Facebook
Киберполиция заявила о "постоянных" атаках на серверы ЦИК и компьютеры членов комиссии
Bloomberg: взломанные серверы Supermicro найдены телекоммуникационной компанией США
Последние новости

Подгружаем последние новости