RSA ontwikkelt oplossing voor DDoS attacks

CyberJunk86 brengt ons een linkje naar deze press release van RSA Security, waarin het bedrijf bekend maakt dat het een cryptografisch medicijntje voor DoS aanvallen in ontwikkeling heeft. De oplossing die RSA Laboratories voor ogen heeft maakt gebruik van het 'client puzzle' protocol en lijkt best wel snugger in elkaar te steken:

This new cryptographic countermeasure employed using client puzzles is designed to allow servers to accept connection requests normally when there is no evidence of an attack, but during an attack would only selectively accept requests. Specifically, the server would hand out to each client making a request a unique "client puzzle" - a cryptographic problem formulated using the time and information unique to the server and client request.

In order to have resources allocated for a specific connection, the client must submit to the server a correct solution to an individual puzzle deployed with conventional time-outs on server resources. During an attack, legitimate clients would experience only a small degradation in connection time, while the attacking party would require vast computational resources to sustain an interruption of service. As a result, the subsequent burden of numerous requests placed back on the attacking party would severely limit its ability to continue the attack.

Door Femme Taken

UX Designer

Feedback • 14-02-2000 20:30 18

14-02-2000 • 20:30

18

Bron: RSA Security

Lees meer

Xs4all wordt al een week door DDoS-aanval geteisterd
Xs4all wordt al een week door DDoS-aanval geteisterd Nieuws van 24 oktober 2003
FBI: internetaanvallen kwamen uit VS en Zuid-Korea
FBI: internetaanvallen kwamen uit VS en Zuid-Korea Nieuws van 5 november 2002
Internet weerstaat grootste DDoS aanval ooit
Internet weerstaat grootste DDoS aanval ooit Nieuws van 23 oktober 2002
Samenwerking Microsoft en RSA Security
Samenwerking Microsoft en RSA Security Nieuws van 10 oktober 2002
Mafiaboy een creatie van de media?
Mafiaboy een creatie van de media? Nieuws van 22 april 2000
Nieuwe chip tegen DoS-aanvallen
Nieuwe chip tegen DoS-aanvallen Nieuws van 19 april 2000
IRCNet staakt!
IRCNet staakt! Nieuws van 5 april 2000
Meer producten en artikelen
Bedrijfsnieuws

Reacties (18)

-Moderatie-faq
18
18
10
0
0
0
Wijzig sortering
Onno 14 februari 2000 20:48
Dat is slim bedacht. Een nadeel is natuurlijk wel dat dit ook geimplementeerd moet worden. En voordat dat zover is...
WarMaster 14 februari 2000 21:27
Het voordeel hiervan is ook dat je het ECHTE IP van de eventuele aanvaller hebt.

Want omdat er gebruik wordt gemaakt van Encryptie technologie moet er een speciale "Handshake" plaatvinden, waarbij wordt overgeseint wat de key zal worden. Hiervoor moet de data echt aankomen op het echte IP.
Verwijderd 14 februari 2000 21:33
Lees ik het nou goed:

moet je eerst een legpuzzel inelkaar zetten voordat je op een site kunt? En uit hoeveel stukjes bestaan die dan? Ik heb nog een hele leuke puzzel van zaandam... 1000 stukjes..

:-) :-) :-)
Dim 14 februari 2000 22:32
Zucht.... voor dit soort reakties van RSA enz werd ik nou juist gewaarschuwd op een security mailing list (BugTraq). Dit noemt men dus "Snake Oil", zogenaamde wondermiddelen.
Natuurlijk gaat nu iedere fabrikant die ook maar in de verste verte iets met security te maken heeft, om het hardst roepen dat ze de oplossing hebben voor alle internet problemen! Dat heet gewoon marketing.

In feite is het zo: tegen die DDoS attacks valt niet zo heel veel te doen. De huidige internet protocols zijn namelijk gewoon nooit ontworpen om tegen dit soort moedwillig vandalisme te kunnen! Je kan helaas niet dmv een of ander stukje soft van RSA of wie dan ook deze problemen de wereld uit helpen. Hiervoor is een redesign van het netwerk nodig... Misschien dat IPv6 uitkomst kan bieden, maar duurt nog jaren.
Verwijderd 14 februari 2000 23:23
</div><div class=b4>In order to have resources allocated for a specific connection (...)</div><div class=b1>

Worden er niet al resources in gebruik genomen bij het beginnen van een verbinding? Die server zit toch de hele tijd te wachten tot de client antwoordt met de juiste oplossing? Dan gaat die server toch alsnog op z'n bek als ik 10000 gespoofde connecties probeer aan te gaan? Die ddos attacks zijn toch niet gebasseerd op het maken van een volwaardige verbinding maar juist op het beginnen van verbindingen vanaf niet bestaand/online computers, zodat de server dichtslibt?
Verwijderd 15 februari 2000 02:13
Ik heb ff de theory van dat protocol doorgenomen, en eigenlijk is het enige voordeel dat er m.b.v. dit protocol bij een attack geen geheugen meer wordt gealloceerd voor een attacker, maar alleen voor clients met een 'solved puzzle'. DIt wil zeggen dat attacks nog wel kunnen werken, maar dat er veel meer computers voor nodig zijn om effectief te zijn. Een server die geattackt wordt stuurt dus alleen nog maar een pakketje met een puzzle terug, i.p.v. direct al geheugen te alloceren in het (misplaatste) vertrouwen dat deze ook gebruikt gaat worden.
Verwijderd 15 februari 2000 08:54
Het zal best werken, maar zoals altijd zal het niet lang duren vooraleer dit "puzzeltje" ook alweer gekraakt is. Niks is 100% veilig, dus ook niet iets wat de RSA heeft ontwikkeld.
Helsie 15 februari 2000 12:04
imeller: in het bericht staat duidelijk dat de server selectief verbindingen aan zal gaan op het moment dat er sprake lijkt te zijn van een flood. Ik denk dat daar het belangrijkste deel van de verdediging in zit. De encryptie dingesen zijn alleen bedoeld om te zorgen dat de mensen met goede bedoelingen er alsnog doorheen kunnen komen. Ik denk dat dit best een aardige methode is. :)
Verwijderd 15 februari 2000 15:25
iMAGE
Zoals helsie zegt, de beveiliging houdt in, dat een server bij elke request van een client een puzzel stuurt, die alleen de desbetreffende client kan oplossen. Bij een normaal aantal requests heeft een client absoluut voldoende performance om die puzzel op te lossen. Deze verbindingen zijn dus legitiem.

Iemand die een DoS attack begint, zal zoveel mogelijk requests doen aan de server. Deze server zal nu (als hij het puzzle protocol geïmplementeerd heeft) antwoorden met evenzovele puzzles. De client zal dus voor elke puzzle resources (processorkracht en geheugen) moeten alloceren, wil hij de verbinding tot stand brengen. Een request met een onbeantwoorde puzzle zal geen resources op de server toegewezen krijgen. Einde DoS.

Nuff said :7
Verwijderd 15 februari 2000 17:16
Maar als er 1 gigabit per seconde wordt verstuurd zoals bij yahoo, dan doen beveiligde connecties daar toch niets aan? Want dan komen er nauwelijks nieuwe verbindingen aan bij de server die alleen beveiligde connecties aangaat. Als er dan al verbinding is is die heel traag...
Natuurlijk bestaat een ddos attack vaak uit meerdere technieken... maar hiermee bescherm je je niet tegen al die technieken lijkt me zo....

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq