Nieuwe verdediging tegen Denial of Service-aanvallen: 'Bring 'em On!'

Een nieuwe verdediging tegen een Denial of Service-aanval neemt de onconventionele weg om in wezen te zeggen: What you got, sucka? Met de naam Speak-Up werkt de verdediging door alle klanten die verbinding maken met een server te vragen hun verzoeken te vergroten.





Meestal, zo luidt de theorie, hebben legitieme clients veel meer beschikbare bandbreedte dan aanvallers, die waarschijnlijk hun bandbreedte maximaliseren terwijl ze proberen je uit te schakelen. Dientengevolge krijgen legitieme clients meer tijd van de server, hopelijk genoeg om een ​​serviceonderbreking te voorkomen.

Het is een beetje zoals Homer's straf voor het verkopen van zijn ziel in ruil voor een donut. Natuurlijk reageert de duivel met Hier zijn alle donuts ter wereld!

Bij een Distributed Denial of Service-aanval gebruiken onverlaten die grote netwerken van zombie-pc's beheren deze om een ​​doelserver, bijvoorbeeld degene die deze webpagina host, te overspoelen met zoveel verkeer dat het ofwel in de soep loopt of zo overvol raakt dat geen legitieme verzoeken om zijn aandacht kunnen doorkomen.



Het is het soort dingen dat het beruchte prikbord 4chan zelf heeft beschreven /b/tards gelanceerd tegen Gawker.com en, meest recentelijk, tegen de Motion Picture Association of America .

De gebruikelijke verdediging tegen dit soort aanvallen is de meest voor de hand liggende: probeer erachter te komen wie de rotte appels zijn die je serververzoeken sturen en blokkeer ze een voor een. Het probleem met deze aanpak is dat het tijd kost om erachter te komen wie de slechteriken zijn, en terwijl je detective speelt, is je gehoste service of website in feite ontoegankelijk.

Er is ook een risico dat eventuele barrières die u opwerpt, een bepaalde hoeveelheid legitiem verkeer blokkeren, en dat is precies wat de aanvallers in de eerste plaats proberen te bereiken.



Speak-Up zet dit idee op zijn kop. In plaats van te proberen onderscheid te maken tussen legitiem en kwaadaardig verkeer, vraagt ​​het alle klanten om het steeds meer verkeer te sturen. Van het papier, DDoS-verdediging door aanval , door Michael Walfish en zijn collega's:

Wanneer de beveiligde webserver overbelast is, geeft de front-end JavaScript aan ongewijzigde webclients, waardoor ze grote HTTP POST's verzenden. Deze POST's zijn de bandbreedtebetaling.

Dit klinkt gek: waarom zou je willen dat een server wordt verlamd door te veel verkeer om zelfs maar om te vragen? meer verkeer? Weet eerst dat in Speak-Up, de server is niet overbelast zijn - er is iets tussen het internet en het internet dat slechts zoveel verzoeken doorlaat als het aankan. Onder normale omstandigheden zouden de kwaadaardige verzoeken de server nog steeds monopoliseren, omdat ze de neiging hebben om tegen een veel hogere snelheid te worden verzonden.



Maar in Speak Up vindt een soort veiling plaats: de server vertelt alle klanten: Hé, laten we eens kijken waar je van gemaakt bent. Heb je nog meer bandbreedte voor me? Klanten die verplichten door, in feite, grote bestanden te uploaden bovenop hun normale verzoeken, kunnen meer verkeer verzenden, en omdat de slechteriken de neiging hebben om bandbreedtebeperkt te zijn, betekent dit dat de goeden een deel krijgen van verkeer dat op zijn minst evenredig is met hun aantal.

Hier is een illustratie van hoe Speak-Up werkt: bovenaan heb je het deel van de bronnen van de server dat wordt gebruikt door legitiem verkeer (zwart) wanneer de server wordt aangevallen en niet wordt verdedigd. Onderaan heb je dezelfde server met Speak-Up. Nu krijgt het legitieme verkeer een behoorlijk deel van de bronnen van de server.

De auteurs beweren dat servers die worden verdedigd met Speak-Up niet zo over-provisioned hoeven te zijn als normale servers, en dat zolang het legitieme verkeer naar een server in dezelfde orde van grootte ligt als de slechte dingen, het legitieme verkeer zal doorkomen.



Er zijn een groot aantal kanttekeningen hier. Als je meer details wilt, moet je de krant lezen , dat is 50 (redelijk heldere) pagina's lang voordat je zelfs maar bij de referenties komt.

Volg Mims op Twitter of neem contact met hem op via e-mail .

zich verstoppen