Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: RSA Security

CyberJunk86 brengt ons een linkje naar deze press release van RSA Security, waarin het bedrijf bekend maakt dat het een cryptografisch medicijntje voor DoS aanvallen in ontwikkeling heeft. De oplossing die RSA Laboratories voor ogen heeft maakt gebruik van het 'client puzzle' protocol en lijkt best wel snugger in elkaar te steken:

This new cryptographic countermeasure employed using client puzzles is designed to allow servers to accept connection requests normally when there is no evidence of an attack, but during an attack would only selectively accept requests. Specifically, the server would hand out to each client making a request a unique "client puzzle" - a cryptographic problem formulated using the time and information unique to the server and client request.

In order to have resources allocated for a specific connection, the client must submit to the server a correct solution to an individual puzzle deployed with conventional time-outs on server resources. During an attack, legitimate clients would experience only a small degradation in connection time, while the attacking party would require vast computational resources to sustain an interruption of service. As a result, the subsequent burden of numerous requests placed back on the attacking party would severely limit its ability to continue the attack.

Moderatie-faq Wijzig weergave

Reacties (18)

Dat is slim bedacht. Een nadeel is natuurlijk wel dat dit ook geimplementeerd moet worden. En voordat dat zover is...
Het voordeel hiervan is ook dat je het ECHTE IP van de eventuele aanvaller hebt.

Want omdat er gebruik wordt gemaakt van Encryptie technologie moet er een speciale "Handshake" plaatvinden, waarbij wordt overgeseint wat de key zal worden. Hiervoor moet de data echt aankomen op het echte IP.
Lees ik het nou goed:

moet je eerst een legpuzzel inelkaar zetten voordat je op een site kunt? En uit hoeveel stukjes bestaan die dan? Ik heb nog een hele leuke puzzel van zaandam... 1000 stukjes..

:-) :-) :-)
Zucht.... voor dit soort reakties van RSA enz werd ik nou juist gewaarschuwd op een security mailing list (BugTraq). Dit noemt men dus "Snake Oil", zogenaamde wondermiddelen.
Natuurlijk gaat nu iedere fabrikant die ook maar in de verste verte iets met security te maken heeft, om het hardst roepen dat ze de oplossing hebben voor alle internet problemen! Dat heet gewoon marketing.

In feite is het zo: tegen die DDoS attacks valt niet zo heel veel te doen. De huidige internet protocols zijn namelijk gewoon nooit ontworpen om tegen dit soort moedwillig vandalisme te kunnen! Je kan helaas niet dmv een of ander stukje soft van RSA of wie dan ook deze problemen de wereld uit helpen. Hiervoor is een redesign van het netwerk nodig... Misschien dat IPv6 uitkomst kan bieden, maar duurt nog jaren.
</div><div class=b4>In order to have resources allocated for a specific connection (...)</div><div class=b1>

Worden er niet al resources in gebruik genomen bij het beginnen van een verbinding? Die server zit toch de hele tijd te wachten tot de client antwoordt met de juiste oplossing? Dan gaat die server toch alsnog op z'n bek als ik 10000 gespoofde connecties probeer aan te gaan? Die ddos attacks zijn toch niet gebasseerd op het maken van een volwaardige verbinding maar juist op het beginnen van verbindingen vanaf niet bestaand/online computers, zodat de server dichtslibt?
Ik heb ff de theory van dat protocol doorgenomen, en eigenlijk is het enige voordeel dat er m.b.v. dit protocol bij een attack geen geheugen meer wordt gealloceerd voor een attacker, maar alleen voor clients met een 'solved puzzle'. DIt wil zeggen dat attacks nog wel kunnen werken, maar dat er veel meer computers voor nodig zijn om effectief te zijn. Een server die geattackt wordt stuurt dus alleen nog maar een pakketje met een puzzle terug, i.p.v. direct al geheugen te alloceren in het (misplaatste) vertrouwen dat deze ook gebruikt gaat worden.
Het zal best werken, maar zoals altijd zal het niet lang duren vooraleer dit "puzzeltje" ook alweer gekraakt is. Niks is 100% veilig, dus ook niet iets wat de RSA heeft ontwikkeld.
imeller: in het bericht staat duidelijk dat de server selectief verbindingen aan zal gaan op het moment dat er sprake lijkt te zijn van een flood. Ik denk dat daar het belangrijkste deel van de verdediging in zit. De encryptie dingesen zijn alleen bedoeld om te zorgen dat de mensen met goede bedoelingen er alsnog doorheen kunnen komen. Ik denk dat dit best een aardige methode is. :)
iMAGE
Zoals helsie zegt, de beveiliging houdt in, dat een server bij elke request van een client een puzzel stuurt, die alleen de desbetreffende client kan oplossen. Bij een normaal aantal requests heeft een client absoluut voldoende performance om die puzzel op te lossen. Deze verbindingen zijn dus legitiem.

Iemand die een DoS attack begint, zal zoveel mogelijk requests doen aan de server. Deze server zal nu (als hij het puzzle protocol geļmplementeerd heeft) antwoorden met evenzovele puzzles. De client zal dus voor elke puzzle resources (processorkracht en geheugen) moeten alloceren, wil hij de verbinding tot stand brengen. Een request met een onbeantwoorde puzzle zal geen resources op de server toegewezen krijgen. Einde DoS.

Nuff said :7
Maar als er 1 gigabit per seconde wordt verstuurd zoals bij yahoo, dan doen beveiligde connecties daar toch niets aan? Want dan komen er nauwelijks nieuwe verbindingen aan bij de server die alleen beveiligde connecties aangaat. Als er dan al verbinding is is die heel traag...
Natuurlijk bestaat een ddos attack vaak uit meerdere technieken... maar hiermee bescherm je je niet tegen al die technieken lijkt me zo....

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True