Израильские эксперты предложили способ защиты от DDoS-атак

Израильские эксперты предложили способ защиты от DDoS-атак

Израильские эксперты по сетевой безопасности из компании Radware открыли любопытный способ борьбы с атаками на отказ в обслуживании. Юрий Гущин и Алекс Бехар предлагают обратить активность множества машин, управляемых преступниками (ботнета) против них самих. С помощью этого способа разработчики намерены обмануть машины ботнета, заставляя их думать, что атакуемый сервер подключен к Интернету через слишком медленный канал.



Типовая распределенная атака на отказ в обслуживания (DDoS - Distributed Denial Of Service) подразумевает вывод веб-сайтов из строя путем отправки огромного числа запросов на сервер с армии зараженных компьютеров. Группу зараженных компьютеров, находящуюся под управлением злоумышленников, еще называют ботнетом. Израильские специалисты решили нанести ответный удар, принуждая атакующие машины к резкому увеличению нагрузки на собственные ресурсы, передает soft.mail.ru.

Новая разработка исследователей из компании Radware значительно отличается от традиционных способов защиты. Дело в том, что в рамках общепринятого подхода защитники блокируют входящие соединения от атакующих компьютеров и сокращают полосу пропускания канала, который соединяет сервер с Интернетом. Учитывая растущие масштабы согласованных атак на веб-сайты, старый подход оказывается все менее и менее эффективным, поскольку сервер в таком случае на самом деле практически перестает обрабатывать реальные запросы реальных пользователей, что, по сути, и является целью злоумышленников.

Гущин и Бехар предлагают манипулировать входящими подключениями атакующих таким образом, чтобы повысить нагрузку на сам ботнет. Намеренно игнорируя часть однотипных запросов, сервер убеждает атакующие компьютеры в том, что он не успевает их обрабатывать – из-за этого атакующие компьютеры вновь и вновь пытаются установить соединение. Итоговая задержка составляет 5 минут – в течение этого времени каждый узел ботнета работает вхолостую, что серьезно снижает общую производительность ботнета. В какой-то момент атакующие компьютеры будут вынуждены сдаться в зависимости от указаний, которые им отдал тот, кто управляет ботнетом. Несмотря на сложное описание, новый подход уже прошел испытания на практике еще в прошлом году, когда неформальная группа хакеров под названием Anonymous проводила серию атак в честь защиты известного ресурса WikiLeaks.

Особого внимания заслуживает прием, который авторы использовали для распознавания запросов к серверу от нормальных компьютеров. Когда на сервер поступает запрос соединения, тот отправляет в ответ фрагмент сценария Javascript или Flash-контента – обычный компьютер должен загрузить эти фрагменты в свой браузер. В результате обработки фрагмента в браузере генерируется ключ, удостоверяющий добропорядочность пользователя – ему предоставляется доступ к серверу в обычном режиме. Злоумышленники, теоретически, не смогут пройти подобный тест, поскольку попытки подключения осуществляются без участия браузера.

Авторы нового способа защиты от DDoS-атак выпустили бесплатную версию своей утилиты для проверки легитимности пользователей под названием Roboo – она была представлена на конференции Black Hat Europe в Барселоне на этой неделе. Авторы признают, что эффект от нового способа различения ботов и людей может оказаться очень коротким, если создатели ботнетов найдут метод обработки тестовых откликов сервера.

CURATOR добавил сканер уязвимостей прямо в личный кабинет платформы

Провайдер облачной сетевой инфраструктуры и решений для защиты интернет-ресурсов CURATOR представил новый инструмент CURATOR.SCANNER. Решение предназначено для регулярной проверки внешней инфраструктуры компаний на уязвимости, ошибки конфигурации и потенциальные точки входа для атак.

Продукт разработан в рамках технологического сотрудничества с ИБ-компанией Alpha Systems и встроен прямо в личный кабинет платформы CURATOR. Отдельно устанавливать дополнительное ПО не нужно.

Работает всё довольно просто: пользователь указывает объект проверки — домен, IP-адрес, диапазон адресов или веб-приложение — выбирает шаблон сканирования и запускает проверку из интерфейса платформы.

CURATOR.SCANNER умеет выявлять открытые сетевые сервисы, определять версии установленного ПО, сопоставлять их с базами известных уязвимостей, находить ошибки конфигурации и распространенные веб-риски. Среди поддерживаемых проверок — активное сканирование, обнаружение веб-компонентов, анализ веб-приложений и поиск уязвимостей вроде SQL Injection.

Также инструмент может определять наличие WAF и учитывать особенности его работы при проверке веб-приложений. Это важно, потому что сканирование защищенного ресурса без понимания работы фильтров часто дает неполную или искаженную картину.

В CURATOR отмечают, что многие успешные атаки начинаются с эксплуатации конкретной уязвимости на внешнем периметре. При этом компании либо проверяют его нерегулярно, либо используют отдельные инструменты, которые требуют внедрения, настройки и сопровождения.

С запуском CURATOR.SCANNER клиенты платформы получают возможность проверять внешний периметр в том же контуре, где уже управляют защитой доступности, DDoS-фильтрацией и безопасностью веб-ресурсов.

По сути, CURATOR пытается собрать в одном интерфейсе не только защиту от атак, но и регулярный поиск слабых мест до того, как ими заинтересуются злоумышленники.

RSS: Новости на портале Anti-Malware.ru