Сегодня это один из наиболее популярных у злоумышленников видов атак, в результате которых сайты и внутренние сети компаний и организаций становятся на время недоступными для пользователей. По данным из открытых источников, интенсивность DDoS-атак в мире в 2022 году выросла в десятки раз по сравнению с предыдущим годом, а количество атак на Рунет увеличилось на 700%.
Разработка ученых предполагает быстрое срабатывание защиты. "Броня" почти на сто процентов непробиваема - по этой характеристике она значительно превосходит показатели подобного программного обеспечения, представленного на рынке. Статья о разработке ученых опубликована в авторитетном международном журнале Journal of Communications and Information Networks.
Как объяснили в пресс-службе вуза, в очень упрощенном виде типичную DDoS-атаку с DNS-усилением можно сравнить с метанием снежков.
"Хакер исподтишка бросает снежок (пакет данных с запросом) в спину спортсмену-качку (DNS-серверу). Спортсмен недоуменно оборачивается, а хакер его уверяет: "Это не я бросил, это вот он" - и показывает на идущего мимо прохожего, которого хакер и выбрал в качестве своей жертвы, решив использовать для нападения силу спортсмена-качка (DNS-усиление). Дело в том, что каждый такой "снежок" в виртуальном мире именной, на нем как бы стоит подпись того, кто его слепил и бросил. Хакер подделывает подпись прохожего на своем снежке, спортсмен видит, что да, судя по подписи, бросил вон тот прохожий, и обрушивает в ответ на ни в чем не повинного человека (сайт-жертву) огромную снежную глыбу весом в десятки раз больше, чем тот снежок, что был брошен хакером. В результате прохожий весь в снегу, оглушен и практически без чувств", - объяснили в университете.
Сайт, на который напали хакеры, становится недоступен пользователям.
"Новизна нашего подхода заключается в том, что мы предлагаем анализировать не входящий, как обычно, а исходящий с сервера-жертвы трафик. DNS-серверы, используемые хакерами для таких атак, можно легко автоматически выявить и заблокировать по заголовкам пакетов ICMP, которые начинает отправлять сервер, попавший под атаку", - рассказал один из авторов разработки, профессор кафедры суперкомпьютеров и общей информатики Самарского университета Андрей Сухов.
Попавший под атаку сервер начинает бросать в ответ DNS-серверу небольшие специальные "снежки" - пакеты протокола ICMP (Internet Control Message Protocol). Их и анализирует система защиты, предложенная самарскими учеными. Вместо того, чтобы пытаться проанализировать весь трафик, заваливающий сервер, система защиты легко и быстро определяет по заголовкам маленьких исходящих пакетов, с какого именно DNS-сервера ведется атака, и временно блокирует его адреса, а атакуемый сайт продолжает работать.
Для проведения тестовых испытаний был создан компьютерный полигон, в рамках которого специальная программа - утилита Saddam - производила атаку на сервер, используя для усиления запросов DNS-сервер. Собранный на атакуемом сервере трафик использовался для анализа всех аспектов противодействия атаке.
"Результаты испытаний показали, что наше программное обеспечение можно использовать в практических целях не только для защиты серверов от любых DDoS-атак с усилением, но и для противодействия любой атаке, в ходе которой происходит сканирование портов", - отметил Андрей Сухов.