Neue Verteidigung gegen Denial-of-Service-Angriffe: „Bring ’em On!“

Eine neue Verteidigung gegen einen Denial-of-Service-Angriff geht den unkonventionellen Weg, im Wesentlichen zu sagen: What you got, sucka? Die sogenannte Speak-Up-Verteidigung funktioniert, indem sie alle Clients auffordert, die sich mit einem Server verbinden, die Größe ihrer Anfragen zu erhöhen.





Die meiste Zeit, so die Theorie, haben legitime Clients viel mehr verfügbare Bandbreite als Angreifer, die wahrscheinlich ihre Bandbreite ausschöpfen, während sie versuchen, Sie herunterzufahren. Infolgedessen erhalten legitime Clients mehr Zeit des Servers – hoffentlich genug, um eine Dienstunterbrechung zu verhindern.

Es ist ein bisschen wie Homers Bestrafung dafür, dass er seine Seele im Austausch für einen Donut verkauft hat. Natürlich antwortet der Teufel mit Hier sind alle Donuts der Welt!

Bei einem Distributed-Denial-of-Service-Angriff verwenden Schurken, die große Netzwerke von Zombie-PCs kontrollieren, sie, um einen Zielserver – zum Beispiel den, der diese Webseite hostet – mit so viel Verkehr zu überfluten, dass er entweder pleite geht oder so überlastet wird, dass keine legitimen Bitten um seine Aufmerksamkeit können durchkommen.



Es ist die Art von Dingen, die das berüchtigte Message Board 4chan selbst beschreibt /b/tards gestartet gegen Gawker.com und zuletzt gegen die Motion Picture Association of America .

Die übliche Verteidigung gegen diese Art von Angriff ist die offensichtlichste: Versuchen Sie herauszufinden, wer die schlechten Äpfel sind, die Ihre Serveranfragen senden, und blockieren Sie sie nacheinander. Das Problem bei diesem Ansatz besteht darin, dass es Zeit braucht, um herauszufinden, wer die Bösen sind, und während Sie Detektiv spielen, ist Ihr gehosteter Dienst oder Ihre Website praktisch nicht zugänglich.

Es besteht auch die Gefahr, dass alle von Ihnen errichteten Barrieren eine gewisse Menge an legitimem Datenverkehr blockieren, und genau das versuchen die Angreifer in erster Linie zu erreichen.



Speak-Up stellt diese Vorstellung auf den Kopf. Anstatt zu versuchen, zwischen legitimem und bösartigem Datenverkehr zu unterscheiden, fordert es einfach alle Clients auf, ihm immer mehr Datenverkehr zu senden. Aus dem Papier, DDoS-Verteidigung durch Angriff , von Michael Walfish und seinen Kollegen:

Wenn der geschützte Webserver überlastet ist, gibt das Front-End JavaScript an unveränderte Webclients aus, die große HTTP-POSTs senden. Diese POSTs sind die Bandbreitenzahlung.

Das klingt verrückt: Warum möchten Sie, dass ein Server durch zu viel Verkehr lahmgelegt wird, um überhaupt danach zu fragen? mehr Verkehr? Wissen Sie zuerst, dass in Speak-Up der Server ist nicht überlastet sein – da ist etwas dazwischen und das Internet, das nur so viele Anfragen durchlässt, wie es verarbeiten kann. Unter normalen Umständen würden die bösartigen Anfragen den Server immer noch monopolisieren, da sie dazu neigen, mit einer viel höheren Geschwindigkeit gesendet zu werden.



Aber in Speak Up findet eine Art Auktion statt: Der Server sagt allen Clients: Hey, mal sehen, was in dir steckt. Hast du noch mehr Bandbreite für mich? Clients, die dies tun, indem sie zusätzlich zu ihren normalen Anfragen große Dateien hochladen, können mehr Datenverkehr senden, und da die Bösen tendenziell bandbreitenbeschränkt sind, bedeutet dies, dass die Guten einen Anteil davon bekommen Verkehr, der zumindest proportional zu ihrer Zahl ist.

Hier ist eine Illustration der Funktionsweise von Speak-Up: Oben sehen Sie den Teil der Serverressourcen, der von legitimem Datenverkehr (schwarz) verwendet wird, wenn der Server angegriffen und nicht verteidigt wird. Unten haben Sie denselben Server mit Speak-Up. Jetzt bekommt der legitime Datenverkehr seinen gerechten Anteil an den Ressourcen des Servers.

Die Autoren behaupten, dass Server, die mit Speak-Up verteidigt werden, nicht so überlastet sein müssen wie normale Server, und dass, solange der legitime Datenverkehr zu einem Server in der gleichen Größenordnung liegt wie der schlechte Zeug, der legitime Datenverkehr durchkommen wird.



Hier gibt es viele Vorbehalte. Wenn Sie mehr Details möchten, sollten Sie Lies das Dokument , das sind 50 (ziemlich übersichtliche) Seiten, lange bevor man überhaupt zu den Referenzen kommt.

Folge Mims auf Twitter oder kontaktiere ihn per E-Mail .

verbergen