Atakujące botnety można oszukać
Eksperci bezpieczeństwa informatycznego z Izraela opracowali technologię obrony przeciwko atakom hackerskim tzw. atakom DDOS prowadzonym przez sieci przejętych komputerów - botnety - na serwery baz danych i internetowe
Eksperci bezpieczeństwa informatycznego z Izraela opracowali technologię obrony przeciwko atakom hackerskim tzw. atakom DDOS prowadzonym przez sieci przejętych komputerów - botnety - na serwery baz danych i internetowe - poinformował magazyn New Scientist.
Atak DDoS (Distributed Denial of Service) to jeden z najniebezpieczniejszych ataków na system komputerowy lub usługę sieciową. Ma on na celu uniemożliwienie ich działania poprzez zajęcie wszystkich wolnych zasobów. Przeprowadzany jest przez botnet - sieć zawierającą komputery, nad którymi przejęto kontrolę przy użyciu złośliwego oprogramowania (najczęściej tzw.trojany).
Botnety zawierają ogromne ilości przejętych komputerów - zlikwidowany w marcu 201. roku przez policje kilku krajów, największy dotychczas botnet Mariposa zarządzał 13,7 mln zainfekowanych komputerów, serwerów i laptopów.
Komputery botnetu jednocześnie atakują serwery bądź bazy danych ofiary, zasypując je żądaniami usług. Zaatakowany serwer bądź baza dla każdego takiego żądania musi przydzielić określone zasoby (ilość pamięci, czas procesora, pasmo sieciowe), co przy bardzo dużej ilości żądań powoduje zawieszenie całego system.
Yuri Gushin i Alex Behar, specjaliści bezpieczeństwa informatycznego z Izraela, oraz inżynierowie z firmy Radware postanowili zablokować takie ataki, poprzez zmniejszenie przepustowości łącza botnetu z atakowaną siecią czy komputerami.
Zastosowane przez nich rozwiązanie powoduje, że część żądań komputerów botnetu jest ignorowana - tak jakby szybkie łącze z atakowanym systemem nie działało. Zmusza to atakujący botnet do zestawienia wolnego połączenia, aby utrzymać kontakt. Trwa to około 5 minut. Kiedy już bonet zestawi wolniejsze łącze z atakowaną siecią, każde przesyłane żądanie usługi zmniejsza z kolei jego wydajność. Atak staje się w końcu nieskuteczny.
Aby uchronić się przed błędnym rozpoznaniem żądania usług przesyłanych jednocześnie przez wielu normalnych klientów, jako ataku botnetu, Gushin i Behar zastosowali trick, który pozwala rozpoznać atakującego. W czasie pierwszej odpowiedzi na żądanie usługi, generowanej przez serwer lub bazę danych, wysyłany jest do użytkownika kawałek kodu Javascript, albo Flash.
Jeśli żądającym jest zwykły użytkownik, używający przeglądarki internetowej, kod jest przez nią wykonywany, a efekt tej operacji trafia do serwera lub bazy danych. Komputery botnetu nie stosujące przeglądarek, nie wykonują kodu. Nie przechodzą w związku tym testu i zostają rozpoznane jako intruzi. Technika ta, nazwana Roboo została przedstawiona na konferencji bezpieczeństwa Black Hat w Barcelonie w połowie marca br.
Gushin i Behar wypróbowali nowy sposób obrony w czasie zeszłorocznych ataków DDOS na banki prowadzonych przez grupę hackerów-aktywistów Anonymous, wspomagającą portal Wikileaks. Według przedstawionej w Barcelonie prezentacji, atak udało się powstrzymać.
