Американские исследователи из Вашингтонского университета разработали новый способ защиты серверов от распределенных DoS-атак. Как сообщает New Scientist, для противодействия ботнетам ученые предлагают использовать ту же тактику, которую применяют киберпреступники. При распределенной DoS-атаке сеть зомбированных компьютеров, контролируемых злоумышленниками, применяется для генерации и отправки жертве многочисленных запросов. Сервер-мишень, не справившись с огромным количеством данных, просто-напросто отказывается обслуживать пользователей. DoS-атаки широко используются киберпреступниками с целью вывода из строя веб-серверов или серверов электронной почты. Исследователи из Вашингтонского университета для защиты от DoS-атак предлагают ограждать серверы своеобразным подобием ботнета - армией компьютеров, принимающих запросы. Эти компьютеры будут играть роль перевалочных пунктов, передающих пакеты данных на сервер только лишь по его требованию. В результате, сам сервер не будет испытывать перегрузок и сможет работать в обычном режиме. Новая система безопасности получила название Phalanx. В качестве компьютеров, формирующих защиту, ученые предлагают использовать узлы сетей доставки контента, которые могут насчитывать не одну тысячу машин. Исследователи подчеркивают, что теоретически система Phalanx позволяет отразить распределенную DoS-атаку любого масштаба - достаточно лишь увеличить количество компьютеров, принимающих запросы к серверу. Кроме того, комплекс Phalanx может несколько снизить быстродействие вредоносного ботнета. Дело в том, что каждому компьютеру, который пытается получить доступ к серверу, система предлагает решить несложную вычислительную задачу. Для обычных пользователей задержка будет незаметна, однако в случае, когда речь идет о генерации огромного количества запросов, скорость работы вредоносных машин может значительно снизиться. Практические эксперименты показали, что комплекс Phalanx, состоящий из примерно семи тысяч компьютеров, принимающих запросы, может защитить сервер от ботнета, насчитывающего до миллиона ПК. uinc.ru
Сомнения в реализации подобной защиты Первое правило - защита на стороне пользователя - это не защита. Это все равно, что проверять логин и пароль в JavaScript у пользователя на компьютере. По этой причине, уверен, что будет существовать возможность отмены этой вычислительной процедуры.
Это как? Если я хочу защитится от миллиона ботов мне нужно купить 7 000 серваков? lol Или присоеденится к провайдеру который поставит перед моим сервером 7 000 своих? Уже лучше, но тоже не в копеечку выльется. Только не пойму смысла... 1. Если атака SYN (любая другая низкоуровневая на которую сервак должен ответить) то все равно все пакеты должны прейти на мой единственный сервер или эта семитысячная армия будет за меня устанавливать соединения? отвечать на пинги? А что если служебные данные (DNS/время)..? Не пойму смысла.. 2. Это как? Я хочу установить соединение а мне задачу? 3. Более высокий уровень - сложные запросы заставляющие сервер долго "думать". Как поможет "заслонка"? После соединения "несложная задача" - это уменьшит силу одного бота.. (только все равно не понятно что это за задача такая в стандартных протоколах.. Может шифрование?) Но этой задачей нужно загрузить бота на 100% (процессора) чтобы второй поток не мог помочь. Хорошая "несложная задача". 4. Фильтровать частоповторяющиеся запросы еще на подходе к серверу?, так это аппаратный распределенный IDS, точнее IPS. Вообще жостко. Что? Где? Когда? Им прейдется переделать протоколы http,.. или даже более низкие TCP... О каком сервере вообще идет речь? что ОН данные принимает по собственному требованию? В FreeBSD есть соответвующая фича когда не сетевуха прерывает ядро, а ядро время от времени опрашивает сетевуху. - Но при сетевом удалении устройств будет ли достигнута соответвующее время реакции сервера? DDoS атаки перерастают с атак на определенный сервер до атак на провайдера. lol Сами заставляют вооружатся.
И то не новшество. Есть такой момент как отвечать на SYN не сразу, а через некоторое время. Однопоточные спрутоподобные досеры выпадают в осадок та и не только они. Но только однопоточные.
А чтобы сервер мог решить, отвечать ему на запрос или нет, он должен как-то получить инфу об этом запросе. Так что один хрен.