sovainfo.ru

В Самарском университете разработали эффективный способ защиты от хакерских атак

В создании электронного "щита" также участвовали ученые из Севастополя и США.

В Самарском университете разработали эффективный способ защиты от хакерских атак Фото: unsplash

Ученые Самарского университета имени Королева совместно с коллегами из Севастопольского государственного университета и университета Миссури (Колумбия, США) разработали эффективный способ защиты от хакерских атак.

С помощью данного метода можно значительно улучшить защиту интернет-сайтов от так называемых DDoS-атак с DNS-усилением - в настоящее время это один из наиболее популярных у злоумышленников видов атак, в результате которых сайты и внутренние сети компаний и организаций становятся на время недоступными для пользователей.

Разработка ученых отличается оригинальностью подхода, быстродействием автоматического срабатывания защиты и почти стопроцентной непробиваемостью "брони", что значительно превосходит показатели подобного программного обеспечения, представленного на рынке. Подробностям устройства самарского электронного "щита" посвящена статья, опубликованная в авторитетном международном журнале Journal of Communications and Information Networks.

В очень упрощенном виде типичную DDoS-атаку с DNS-усилением можно сравнить с метанием снежков. Хакер исподтишка бросает снежок (пакет данных с запросом) в спину спортсмену (DNS-серверу). Последний недоуменно оборачивается, а хакер его уверяет: "Это не я бросил, это вот он" - и показывает на идущего мимо прохожего, которого хакер и выбрал в качестве своей жертвы, решив использовать для нападения силу спортсмена (DNS-усиление).

Дело в том, что каждый такой "снежок" в виртуальном мире именной, на нем как бы стоит подпись того, кто его слепил и бросил. Хакер подделывает подпись прохожего на своем снежке, спортсмен видит, что да, судя по подписи, бросил вон тот прохожий, и обрушивает в ответ на ни в чем не повинного человека (сайт-жертву) огромную снежную глыбу весом в десятки раз больше, чем тот снежок, что был брошен хакером. В результате прохожий весь в снегу, оглушен и практически без чувств.

А теперь представьте, что такая сценка повторяется тысячи или миллионы раз и продолжается часы или целые сутки. "Оглушенный" сайт, выбранный в качестве жертвы, становится недоступен пользователям. Покупатели, например, не могут зайти в интернет-магазин и уходят к конкурентам, банк не может получить платежи, пользователи сайта остаются без необходимой им информации и так далее, сплошные убытки и проблемы из-за DDoS-атак. По данным из открытых источников, интенсивность DDoS-атак в мире в 2022 году выросла в десятки раз по сравнению с предыдущим годом, а количество атак на Рунет увеличилось на 700%.

Один из авторов разработки, профессор кафедры суперкомпьютеров и общей информатики Самарского университета имени Королева Андрей Сухов рассказал:

- Атаки распределенного отказа в обслуживании (DDoS) с усилением системы доменных имен (DNS) являются одним из популярных типов вторжений, которые включают обращение злоумышленников к DNS-серверам от имени жертвы. При этом размер ответа DNS-сервера во много раз превышает размер поступившего запроса, то есть атакуемый сервер буквально заваливают огромными пакетами данных и он прекращает работать. Нами представлен оригинальный метод противодействия DDoS-атакам с усилением DNS, - отметил он. - Новизна подхода заключается в том, что мы предлагаем анализировать не входящий, как обычно, а исходящий с сервера-жертвы трафик. DNS-серверы, используемые хакерами для таких атак, можно легко автоматически выявить и заблокировать по заголовкам пакетов ICMP, которые начинает отправлять сервер, попавший под атаку.

Попав под атаку, сервер-жертва начинает бросать в ответ DNS-серверу небольшие специальные "снежки" - пакеты протокола ICMP (Internet Control Message Protocol), вот их-то и анализирует система защиты, предложенная самарскими учеными. Вместо того чтобы пытаться проанализировать весь трафик, в том числе большие "снежные глыбы", заваливающие сервер и отнимающие у него последние силы и ресурсы, система защиты легко и быстро определяет по заголовкам маленьких исходящих пакетов, с какого именно DNS-сервера ведется атака, и временно блокирует его адреса - бросаемые глыбы больше не попадают в прохожего, атакуемый сайт продолжает работать.

Доцент кафедры суперкомпьютеров и общей информатики Самарского университета имени Королева Самара Майхуб поясняет:

- DNS-серверы, используемые для атак с усилением, легко обнаруживаются по заголовкам пакетов ICMP (тип 3, код 3) исходящего трафика. Пакеты этого типа генерируются при доступе к закрытым портам сервера-жертвы. Для предотвращения таких атак мы использовали Linux-утилиту и модуль программно-определяемой сети (SDN), который был ранее разработан нами для защиты от сканирования портов. В ходе испытаний Linux-утилита показала наивысшую эффективность защиты, равную 99,8%, то есть до атакуемого сервера дошли только два пакета атаки из тысячи отправленных, - отметила она.

Для проведения тестовых испытаний был создан компьютерный полигон, в рамках которого специальная программа - утилита Saddam - производила атаку на сервер-жертву, используя для усиления запросов DNS-сервер. Собранный на атакуемом сервере трафик использовался для анализа всех аспектов противодействия атаке.

- Результаты испытаний показали, что разработанное нами программное обеспечение можно использовать в практических целях не только для защиты серверов от любых DDoS-атак с усилением, но и для противодействия любой атаке, в ходе которой происходит сканирование портов, - отметил Андрей Сухов.


поделиться: