Ошибка

Новая система аутентификации защитит от DDoS [Безопасность]

Ответить на тему
 
Автор Сообщение

Чатланин

Статус:info

Пол: Пол:Муж

Стаж: 15 лет

Сообщений: 1688

Предупреждений: 1

Россия
Рейтинг

post 07-Окт-2009 07:57 [-]0[+]

Quote

Новая система аутентификации защитит от DDoS


Исследователи из Университета Оберна, штат Алабама, разработали систему фильтрации, позволяющую малыми затратами защитить аутентификационные серверы от DDoS-атак.

Как известно, атаки на отказ в обслуживании строятся на том, чтобы озадачить сервер большим количеством запросов. Существуют методы для противодействия таким атакам, основанные на фильтрации запросов от неавторизованных пользователей.

Однако проверка компьютеров также отнимает вычислительные ресурсы. Если достаточное количество компьютеров обратятся к серверу, передав ему случайные логины/пароли, это тоже может стать DDoS-атакой, которая положит сервер.

Алабамские учёные разработали протокол для пассивной аутентификации клиентских компьютеров, которая практически не отнимает у сервера вычислительные ресурсы. Система IPACF (Identity-Based Privacy-Protected Access Control Filter — основанный на подлинности фильтр контроля доступа с защитой конфиденциальности) построена на установке компьютеров пользователей, имеющих доступ к некому сетевому ресурсу, специальной программы.

Обращение клиента к серверу сопровождается своеобразной цифровой подписью, состоящей из комбинации одноразового закрытого ключа и одноразового псевдоидентификатора. Подробности алгоритма выяснить не удалось — в свободном доступе находится только краткое изложение работы, опубликованной в журнале International Journal of Information and Computer Security.

"Это, насколько понятно из абстракта, софтверный аналог шифра Вернама (one-time pad) с относительно большим размером таблицы, — полагают специалисты Центра телекоммуникаций и технологий Интернет МГУ. — Запрос к серверу аутентификации подписывается/оборачивается таким образом, что проверить, идёт ли запрос к серверу аутентификации от честного пользователя или от "левого" компьютера, очень дёшево. Соответственно, вся процедура проверки предложенных аутентификационных данных не проводится, а значит, заДДоСить сервер, проверяющий пароли, становится значительно сложнее".

Теоретически злоумышленники могут положить сервер с системой IPACF, используя очень большие, если не гигантские ресурсы. Смоделированная атака показала, что 1000 "нелегитимных" компьютеров, объединённых в сеть с 10-гигабитным каналом, вызывают очень незначительную нагрузку на сервер. На то, чтобы распознать и отклонить "левый" пакет данных, ему требуется всего 6 наносекунд (параметры сервера не уточняются).

Поскольку подробности работы этого фильтра закрыты, можно только гадать, сможет ли сервер защититься от трафика, генерируемого зараженными компьютерами с предварительно установленным софтом IPACF.

Profile PM

post 21-Окт-2009 10:34 (спустя 14 дней) [-]0[+]

Топик был перенесен из форума Новости в сети в форум Архив (Новости в сети)

chrome
 
Показать сообщения:    
Ответить на тему

Текущее время: 25-Ноя 08:55

Часовой пояс: GMT + 4



Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы