211service.com
Nueva defensa contra ataques de denegación de servicio: '¡Adelante!'
Una nueva defensa contra un ataque de denegación de servicio toma la ruta poco convencional de decir, en esencia, ¿Qué tienes, sucka? Llamada Speak-Up, la defensa funciona pidiendo a todos los clientes que se conectan a un servidor que aumenten el tamaño de sus solicitudes.
La mayoría de las veces, según la teoría, los clientes legítimos tienen mucho más ancho de banda disponible que los atacantes, quienes probablemente están maximizando su ancho de banda mientras intentan apagarlo. Como resultado, los clientes legítimos obtienen más tiempo del servidor, lo suficiente, con suerte, para evitar una interrupción del servicio.
Es un poco como el castigo de Homer por vender su alma a cambio de una dona. Naturalmente, el diablo responde con ¡Aquí están todas las rosquillas del mundo!
En un ataque de denegación de servicio distribuido, los malhechores que controlan grandes redes de PC zombies los utilizan para inundar un servidor de destino, por ejemplo, el que aloja esta página web, con tanto tráfico que se arruina o se congestiona tanto que no hay las solicitudes de atención pueden llegar.
Es el tipo de cosas que el infame tablero de mensajes de 4chan se describe a sí mismo / b / tardes lanzado contra Gawker.com y, más recientemente, contra la Motion Picture Association of America .
La defensa habitual contra este tipo de ataque es la más obvia: intente averiguar quiénes son las manzanas podridas que envían las solicitudes de su servidor y bloquéelas una por una. El problema con este enfoque es que se necesita tiempo para descubrir quiénes son los malos y, mientras juegas al detective, tu sitio web o servicio alojado es efectivamente inaccesible.
También existe el riesgo de que cualquier barrera que levante bloquee una cierta cantidad de tráfico legítimo, que es exactamente lo que los atacantes están tratando de lograr en primer lugar.
Speak-Up le da la vuelta a esta noción. En lugar de intentar distinguir entre tráfico legítimo y malicioso, simplemente pide a todos los clientes que le envíen más y más tráfico. Del papel, Defensa DDoS por delito , por Michael Walfish y sus colegas:
Cuando el servidor web protegido está sobrecargado, el front-end proporciona JavaScript a los clientes web no modificados que los hace enviar POST HTTP grandes. Estos POST son el pago de ancho de banda.
Esto suena loco: ¿por qué querrías que un servidor se paralizara por demasiado tráfico para pedir incluso más ¿tráfico? Primero, sepa que en Speak-Up, el servidor no es está sobrecargado: hay algo entre él e Internet que solo permite el paso de tantas solicitudes como puede manejar. En circunstancias normales, las solicitudes maliciosas seguirían monopolizando el servidor porque tienden a enviarse a una velocidad mucho mayor.
Pero en Speak Up, ocurre una especie de subasta: el servidor les dice a todos los clientes: Oigan, veamos de qué están hechos. ¿Tienes más ancho de banda para mí? Los clientes que, en efecto, cargan archivos de gran tamaño además de sus solicitudes normales, pueden enviar más tráfico y, dado que los malos tienden a tener un ancho de banda limitado, esto significa que los buenos obtienen una parte de tráfico que sea al menos proporcional a su número.
Aquí hay una ilustración de cómo funciona Speak-Up: en la parte superior, tiene la parte de los recursos del servidor que está siendo utilizada por tráfico legítimo (negro) cuando el servidor está bajo ataque y sin defensa. Abajo, tienes el mismo servidor con Speak-Up en su lugar. Ahora, el tráfico legítimo obtiene una parte justa de los recursos del servidor.
Los autores afirman que los servidores defendidos con Speak-Up no tienen que estar tan sobreaprovisionados como los servidores normales, y que siempre que el tráfico legítimo a un servidor esté dentro del mismo orden de magnitud que las cosas malas, el tráfico legítimo pasará.
Aquí hay una serie de salvedades. Si quieres más detalles deberías Lee el papel , que son 50 (bastante lúcidas) páginas mucho antes de llegar a las referencias.
Sigue a Mims en Twitter o contáctalo por correo electrónico .