Исследователи из Университета Оберна, штат Алабама, разработали систему
фильтрации, позволяющую малыми затратами защитить аутентификационные серверы от
DDoS-атак.
Как известно, атаки на отказ в обслуживании строятся на том, чтобы озадачить
сервер большим количеством запросов. Существуют методы для противодействия таким
атакам, основанные на фильтрации запросов от неавторизованных пользователей.
Однако проверка компьютеров также отнимает вычислительные ресурсы. Если
достаточное количество компьютеров обратятся к серверу, передав ему случайные
логины/пароли, это тоже может стать DDoS-атакой, которая положит сервер.
Алабамские учёные разработали протокол для пассивной аутентификации
клиентских компьютеров, которая практически не отнимает у сервера вычислительные
ресурсы. Система IPACF (Identity-Based Privacy-Protected Access
Control Filter — основанный на подлинности фильтр контроля доступа с защитой
конфиденциальности) построена на установке компьютеров пользователей, имеющих
доступ к некому сетевому ресурсу, специальной программы.
Обращение клиента к серверу сопровождается своеобразной цифровой подписью,
состоящей из комбинации одноразового закрытого ключа и одноразового
псевдоидентификатора. Подробности алгоритма выяснить не удалось — в свободном
доступе находится только краткое изложение работы, опубликованной в журнале
International Journal of Information and Computer Security.
"Это, насколько понятно из абстракта, софтверный аналог шифра Вернама (one-time
pad) с относительно большим размером таблицы, — полагают специалисты Центра
телекоммуникаций и технологий Интернет МГУ. — Запрос к серверу аутентификации
подписывается/оборачивается таким образом, что проверить, идёт ли запрос к
серверу аутентификации от честного пользователя или от "левого" компьютера,
очень дёшево. Соответственно, вся процедура проверки предложенных
аутентификационных данных не проводится, а значит, заДДоСить сервер, проверяющий
пароли, становится значительно сложнее".
Теоретически злоумышленники могут положить сервер с системой IPACF, используя
очень большие, если не гигантские ресурсы. Смоделированная атака показала, что
1000 "нелегитимных" компьютеров, объединённых в сеть с 10-гигабитным каналом,
вызывают очень незначительную нагрузку на сервер. На то, чтобы распознать и
отклонить "левый" пакет данных, ему требуется всего 6 наносекунд (параметры
сервера не уточняются).
Поскольку подробности работы этого фильтра закрыты, можно только гадать,
сможет ли сервер защититься от трафика, генерируемого зараженными компьютерами с
предварительно установленным софтом IPACF.