211service.com
Nouvelle défense contre les attaques par déni de service : « Apportez-les ! »
Une nouvelle défense contre une attaque par déni de service prend la voie non conventionnelle de dire, en substance, qu'est-ce que vous avez, sucka? Appelée Speak-Up, la défense fonctionne en demandant à tous les clients se connectant à un serveur d'augmenter la taille de leurs requêtes.
La plupart du temps, selon la théorie, les clients légitimes ont beaucoup plus de bande passante disponible que les attaquants, qui maximisent probablement leur bande passante tout en essayant de vous arrêter. En conséquence, les clients légitimes obtiennent plus de temps sur le serveur, suffisamment, espérons-le, pour éviter une interruption de service.
C'est un peu comme la punition d'Homère pour avoir vendu son âme en échange d'un beignet. Naturellement, le diable répond avec Voici tous les beignets du monde !
Dans une attaque par déni de service distribué, les malfaiteurs qui contrôlent de grands réseaux de PC zombies les utilisent pour inonder un serveur cible - par exemple, celui hébergeant cette page Web - avec tellement de trafic qu'il s'effondre ou devient si encombré qu'aucun les demandes de son attention peuvent passer.
C'est le genre de chose que le tristement célèbre babillard 4chan décrit lui-même /b/tards lancé contre Gawker.com et, plus récemment, contre la Motion Picture Association of America .
La défense habituelle contre ce type d'attaque est la plus évidente : essayez de déterminer qui sont les pommes pourries qui envoient les requêtes de votre serveur, et bloquez-les une par une. Le problème avec cette approche est qu'il faut du temps pour déterminer qui sont les méchants, et pendant que vous jouez au détective, votre service ou site Web hébergé est effectivement inaccessible.
Il existe également un risque que les barrières que vous dressez bloquent une certaine quantité de trafic légitime, ce qui est exactement ce que les attaquants essaient d'accomplir en premier lieu.
Speak-Up renverse cette notion. Au lieu d'essayer de faire la distinction entre le trafic légitime et malveillant, il demande simplement à tous les clients de lui envoyer de plus en plus de trafic. Du papier, Défense DDoS par infraction , par Michael Walfish et ses collègues :
Lorsque le serveur Web protégé est surchargé, le frontal donne du code JavaScript aux clients Web non modifiés, ce qui leur permet d'envoyer des messages HTTP POST volumineux. Ces POST sont le paiement de la bande passante.
Cela semble fou : pourquoi voudriez-vous qu'un serveur soit paralysé par trop de trafic pour demander même Suite circulation? Tout d'abord, sachez que dans Speak-Up, le serveur n'est pas être surchargé - il y a quelque chose entre lui et Internet qui ne laisse passer qu'autant de demandes qu'il peut gérer. Dans des circonstances normales, les requêtes malveillantes monopoliseraient toujours le serveur car elles ont tendance à être envoyées à un taux beaucoup plus élevé.
Mais dans Speak Up, une sorte d'enchère se produit : le serveur dit à tous les clients : Hé, voyons de quoi vous êtes fait. Vous avez plus de bande passante pour moi ? Les clients qui obligent en téléchargeant des fichiers volumineux en plus de leurs demandes normales, sont capables d'envoyer plus de trafic, et parce que les méchants ont tendance à être limités en bande passante, cela signifie que les bons obtiennent une part de trafic au moins proportionnel à leur nombre.
Voici une illustration du fonctionnement de Speak-Up : en haut, vous avez la partie des ressources du serveur utilisée par le trafic légitime (noir) lorsque le serveur est attaqué et sans défense. En bas, vous avez le même serveur avec Speak-Up en place. Désormais, le trafic légitime obtient sa juste part des ressources du serveur.
Les auteurs affirment que les serveurs défendus avec Speak-Up n'ont pas besoin d'être aussi surprovisionnés que les serveurs normaux, et que tant que le trafic légitime vers un serveur est du même ordre de grandeur que les mauvaises choses, le trafic légitime passera.
Il y a une foule de mises en garde ici. Si vous voulez plus de détails, vous devriez lire le papier , qui fait 50 pages (assez lucides) bien avant même d'arriver aux références.