211service.com
Nytt försvar mot överbelastningsattacker: 'Bring 'em On!'
Ett nytt försvar mot en Denial of Service-attack tar den okonventionella vägen att säga, i huvudsak, Vad har du, sucka? Kallas Speak-Up, fungerar försvaret genom att be alla klienter som ansluter till en server att öka storleken på sina förfrågningar.
För det mesta, enligt teorin, har legitima klienter mycket mer tillgänglig bandbredd än angripare, som förmodligen maximerar sin bandbredd medan de försöker stänga av dig. Som ett resultat får legitima klienter mer av serverns tid – förhoppningsvis tillräckligt för att förhindra ett tjänstavbrott.
Det är lite som Homers straff för att ha sålt sin själ i utbyte mot en munk. Naturligtvis svarar djävulen med Här är alla munkar i världen!
I en Distributed Denial of Service-attack använder skurkar som kontrollerar stora nätverk av zombie-datorer dem för att översvämma en målserver – till exempel den som är värd för den här webbsidan – med så mycket trafik att den antingen går uppåt eller blir så överbelastad att ingen legitim förfrågningar om dess uppmärksamhet kan komma igenom.
Det är sånt som den ökända anslagstavlan 4chan själv beskrev /b/tards lanseras mot Gawker.com och senast, mot Motion Picture Association of America .
Det vanliga försvaret mot denna typ av attack är det mest uppenbara: försök ta reda på vilka som är de dåliga äpplena som skickar dina serverförfrågningar och blockera dem en efter en. Problemet med detta tillvägagångssätt är att det tar tid att ta reda på vilka som är skurkarna, och medan du spelar detektiv är din värdtjänst eller webbplats faktiskt otillgänglig.
Det finns också en risk att alla barriärer du kastar upp kommer att blockera en viss mängd legitim trafik, vilket är precis vad angriparna försöker åstadkomma i första hand.
Speak-Up vänder på det här begreppet. Istället för att försöka skilja på legitim och skadlig trafik, ber den helt enkelt alla kunder att skicka den mer och mer trafik. Från tidningen, DDoS försvar genom brott , av Michael Walfish och hans kollegor:
När den skyddade webbservern är överbelastad ger front-end JavaScript till omodifierade webbklienter som gör att de skickar stora HTTP-POST. Dessa POST:er är bandbreddsbetalningen.
Det här låter galet: varför skulle du vilja att en server blir förlamad av för mycket trafik att begära ens Mer trafik? Först, vet att i Speak-Up, servern är det inte är överbelastad – det är något mellan det och internet som bara släpper igenom så många förfrågningar som det kan hantera. Under normala omständigheter skulle de skadliga förfrågningarna fortfarande monopolisera servern eftersom de tenderar att skickas i mycket högre takt.
Men i Speak Up sker en sorts auktion: servern säger till alla kunder: Hej, låt oss se vad du är gjord av. Har du någon mer bandbredd åt mig? Klienter som tvingas genom att, i själva verket, ladda upp stora filer utöver sina vanliga förfrågningar, kan skicka mer trafik, och eftersom de onda tenderar att vara bandbreddsbegränsade betyder det att de goda får en del av trafik som är åtminstone proportionell mot deras antal.
Här är en illustration av hur Speak-Up fungerar: överst har du den del av serverns resurser som används av legitim trafik (svart) när servern är under attack och oförsvarad. Nederst, du har samma server med Speak-Up på plats. Nu får den legitima trafiken sin beskärda del av serverns resurser.
Författarna hävdar att servrar som försvaras med Speak-Up inte behöver vara lika överprovisionerade som vanliga servrar, och att så länge den legitima trafiken till en server är i samma storleksordning som de dåliga grejerna, den legitima trafiken kommer att ta sig igenom.
Det finns en mängd varningar här. Om du vill ha mer detaljer bör du Läs tidningen , vilket är 50 (ganska klara) sidor långt innan man ens kommer till referenserna.